この度、弊社オンラインショップ「STYLE STORE(http://stylestore.jp/)」及び「COCOMO(http://cocomo.to/)」(以下「当サイト」といいます)において、第三者による不正アクセスがあり、お客様のクレジットカード情報を含む個人情報が不正に取得された可能性があることを確認いたしました。お客様および関係者の皆様におかれましては、多大なるご迷惑、ご心配をおかけいたしましたこと、心よりお詫び申し上げます。
第三者機関による調査の結果、判明いたしました不正アクセスの内容及び流出の可能性があるお客様情報について、以下のとおりご報告申し上げます。
当社は、このような事態となったことを厳粛に受け止め、お客様にご負担をおかけしないようご対応させていただくと共に、二度とこのような事態が起こらぬように再発防止を徹底してまいります。
1.流出した可能性のある個人情報について
- 【対象となるお客様】
- 2013年4月1日〜2016年7月27日
当サイトにてクレジットカードをご登録、ご利用されたお客様 - 【流出した可能性がある個人情報】
- 氏名、住所、電話番号、メールアドレス
クレジットカード情報(番号、有効期限、カード名義) - 【流出した可能性のある最大件数】
- 38,313件
2.お客様へのご対応について
- 【お客様へのご連絡】
- 情報流出の可能性のあるすべてのお客様には、弊社よりご登録のメールアドレス宛にご案内させていただきます。流出の可能性のあるお客様は、大変お手数でございますが、カード会社からのご利用明細書に身に覚えのないお取引がないか、ご確認をお願いいたします。
万が一、カード明細書に身に覚えのない請求がございました場合は、カード裏面のクレジットカード会社の連絡先にお問合せください。 - 【カード再発行費用について】
- お客様がクレジットカードの再発行をご希望の場合は、大変ご面倒をお掛け致しますが、カード裏面のクレジットカード会社に直接お問合せの上、クレジットカードの再発行手続きをご依頼いただきますようお願い申し上げます。
なお、再発行に際しましては、お客様に手数料のご負担をおかけしないよう、当社よりクレジットカード会社に依頼しております。
<本件に関するお客様問い合わせ窓口>
本件に関する専用のお客様窓口を以下にて本日10月3日より設置し、メールにてお問合せへの対応をさせていただきます。
※12月1日修正いたしました。
- support@enfactory.co.jp
3.不正アクセスの原因
当サイトのプログラムに脆弱性があったことが原因と推察されます。
4.対応の経緯
- 平成28年7月11日
- 当サイトの決済代行会社から、当サイトにて決済されたクレジットカードの情報を用いて不正利用がなされた疑いがある旨の第一報がありました。
- 7月13日
- 弊社は、情報流出の有無を確認するため、第三者調査機関「Payment Card Forensics株式会社」(以下、PCF社)へ調査を依頼し、調査を開始いたしました。PCF社へ調査依頼し、また、当社社内において、当サイトのセキュリティ調査を実施しました。その後、7月27日に当サイトのクレジットカード決済機能を停止いたしました。
- 7月27日〜8月24日
- 当社は当サイトの脆弱性を確認し、対策を実施いたしました。
- 9月15日
- PCF社より調査レポートを受け取りました。
- 9月16日
- 当社から警視庁に被害状況を通報
弊社はセキュリティ対策として、ファイアウォールの構築や脆弱性診断を実行しておりましたが、調査の結果、外部からの不正アクセスによって情報の一部が流出した可能性があることが発覚いたしました。
5.実施対策
- 既に完了した対応:プログラムの改修
- 脆弱性があったプログラムを修正し、 不正アクセスの原因となった脆弱性を排除いたしましたので、今後本事象が更に拡大する懸念はございません。
- 今後の対応:クレジットカード情報の非通過型タイプへ変更
- クレジットカード決済については、カード会社より指定されたセキュリティ基準を満たすクレジットカード情報が弊社サーバーを通過しない「非通過型タイプ」へ変更作業を行っております。クレジットカード決済の再開タイミングですが、所定の安全性を満たすのかを徹底確認し、カード会社合意の上で決定いたします。
当社において、情報流出の疑いが確認された時点で、まずは現状を公表することも検討いたしましたが、外部の調査機関による調査報告のない状態で公表することは、かえって多くの混乱をきたす旨の懸念に鑑み、決済代行会社に相談の上、日本クレジットカード協会のガイドラインに従い、今般のタイミングでのご報告となりましたこと、ご理解を賜れれば幸甚の限りでございます。
以上