飲食店の開店やリニューアルに必要な食器・厨房用品・ユニフォーム・家具・備品・消耗品など、3万点以上の商品を販売している「トータルWEB SHOP」。2011年までにオンライン販売サイトが開設され、楽天市場、Amazonにも出店しています。
この「トータルWEB SHOP」が、2015年8⽉28⽇以前に不正アクセスされ、2024年7⽉19⽇に警察から連絡を受けてクレジット決済を停止するまで、約9年間の利用者9,120名の個人情報が、漏えいした可能性があります。
また、クレジット決済を始めた後の2021年5⽉26⽇から、同じく2024年7⽉19⽇に警察から連絡を受けてクレジット決済を停止するまでの約3年間の利用者2,460名のカード情報が漏えいした可能性があります。
原因は、ペイメントアプリケーション改ざんとされています。
簡単に言うと、個人情報を入力してクレジット決済を行う画面を横取りし、偽サイトに入力させる手法です。
→Geminiに描いてもらいました。
偽サイトでは、例えば入力された必須項目の一つをクリアして正規の入力画面に戻し、一部入力漏れのエラー表示から正規の手続きを完了させる等の工作をしています。
このため、利用者もECサイト運営者も長期間気が付かないで個人情報やカード情報を盗み取られることになります。
「トータルWEB SHOP」でも、2024年7⽉19⽇に警察からカード情報漏えいの連絡を受けて初めて発覚しています。
その後、9月13日にはリニューアルオープンと、短期間で対応を行っていますが、利用者への公表まで半年ほどを要しています。
ペイメントアプリケーション改ざんによるカード情報漏えいは、今年に入ってから他にも2件公表されています。
弊社が運営する「柏崎青果オンラインショップ」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ ※2021年4月5日~2024年5月28日にかけて、1,198名のカード情報が漏えい
弊社が運営する「一撃オフィシャルショップ」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ ※2021 年4月13日~2024年7月26日にかけて、8,257名の個人情報と7,455名のカード情報が漏えい
上記3つの事案のお知らせを見て分かるとおり、ペイメントアプリケーション改ざんは、過去に何度も繰り返されている不正アクセスのため、おそらく関係機関の指導により、被害企業の対応もマニュアル化されているようです。
ところで、今回の事案が発生した「トータルWEB SHOP」は、セントラル(公式サイトなし。会社概要はこちら)の九州営業所が運営しています。
有田焼の産地ですね。
セントラルの会社概要が掲載されているサイトは、業務用食器を中心に販売するECサイトです。
画面の構成や流れは、リニューアル後の「トータルWEB SHOP」と同じようですので、こちらは今回の不正アクセスには対応済と考えられます。
