明治23年創業のはたけなか製麺では、宮城県白石市に400年前から伝わる名産品で、油を使わずに作られる短い麺が特徴の「白石温麺(しろいしうーめん)」をはじめ、うどん、そば、そうめん等を製造・販売しています。
その、はたけなか製麺が運営する「はたけなかオンラインショップ」が、2020年7⽉1⽇以前に不正アクセスされ、2024年7⽉17⽇に警察から連絡を受け、さらに2024年8⽉22⽇に個人情報保護委員会からの指示でクレジット決済を停止するまで、約4年間の利用者4,142名の個人情報が、漏えいした可能性があります。
また、クレジット決済については、2021年4⽉20⽇から、同じく2024年8⽉22⽇に個人情報保護委員会からの指示を受けて「はたけなかオンラインショップ」のサイトを停止するまでの約3年強の利用者824名のカード情報が漏えいした可能性があります。
原因は、ペイメントアプリケーション改ざんとされています。
簡単に言うと、個人情報を入力してクレジット決済を行う画面を横取りし、偽サイトに入力させる手法です。
→Geminiに描いてもらいました。
偽サイトでは、例えば入力された必須項目の一つをクリアして正規の入力画面に戻し、一部入力漏れのエラー表示から正規の手続きを完了させる等の工作をしています。
このため、利用者もECサイト運営者も長期間気が付かないで個人情報やカード情報を盗み取られることになります。
「はたけなかオンラインショップ」でも、2024年7⽉17⽇に警察からカード情報漏えいの連絡を受けて初めて発覚しています。そして2024年8⽉22⽇に個人情報保護委員会からの指示を受けて「はたけなかオンラインショップ」のサイトを停止した後は、オンラインショップを休止していました。
今年の1月に入ってから、Shopifyで再構築された新サイトがオープンし、旧サイトは新サイトへの転送のみ行っているようです。年末年始を含みおよそ4ヶ月以上にわたってオンラインショップが閉鎖されていたことになります。クレジット決済は今も休止されたままです。
はたけなか製麺のサイトでは、以前から簡易な通販画面も設けていましたが、2020年6月28日に本格的にオンラインショップをリニューアルオープンしていました。
個人情報漏えいが始まったのが2020年7月1日ですので、リニューアルオープン3日後からの情報が不正アクセスにより取得された可能性があることになります。
ペイメントアプリケーション改ざんによるカード情報漏えいは、今年に入ってから他にも3件公表されています。
弊社が運営する「トータルWEB SHOP」への不正アクセスによる個⼈情報漏えいに関するお詫びとお知らせ ※2015年8月28日~2024年7月19日にかけて、9,120名の個人情報が漏えい
※2021年5月26日~2024年7月19日にかけて、2,460名のカード情報が漏えい
弊社が運営する「柏崎青果オンラインショップ」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ ※2021年4月5日~2024年5月28日にかけて、1,198名のカード情報が漏えい
弊社が運営する「一撃オフィシャルショップ」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ ※2021 年4月13日~2024年7月26日にかけて、8,257名の個人情報と7,455名のカード情報が漏えい
今回を含めて上記4つの事案のお知らせを見て分かるとおり、ペイメントアプリケーション改ざんは、過去に何度も繰り返されている不正アクセスのため、おそらく関係機関の指導により、被害企業の対応もマニュアル化されているようです。
ところで、今回の事案が発生した「はたけなかオンラインショップ」は、はたけなか製麺株式会社が運営しています。
創業134年の老舗です。
「白石温麺」にふれることなくGeminiに聞いてみたところ、白石市を代表するもののひとつにあげてきました。
