健康食品のスローヴィレッジ、通販サイトから3万件超の個人情報漏えいか 不正アクセス被害で

スローヴィレッジは10月24日、ECサイト「スローヴィレッジオンラインショップ」において、不正アクセスによる情報漏洩の可能性があると発表した。3万2345件の顧客の個人データが漏洩した可能性があるとし、詳細を報告するとともに謝罪の意を表明した。個人データが漏洩した可能性のある顧客には、電子メールで個別に連絡を行っている。

スローヴィレッジはこのほど、ECサイト「スローヴィレッジオンラインショップ」における情報漏洩について、詳細を発表するとともに謝罪の意を表明した。第三者からの不正アクセスを受け、3万2345件の顧客の個人データ(内4494件の顧客ついては、クレジットカード情報を含む個人データ)が漏洩した可能性がある。

スローヴィレッジは、2024年6月19日、クレジットカード会社より、ECサイト「スローヴィレッジオンラインショップ」を利用した顧客のクレジットカード情報の漏洩が懸念される旨の連絡を受け、「スローヴィレッジオンラインショップ」でのクレジットカード決済を停止。第三者調査機関に調査を依頼した。

2024年7月7日に調査機関による調査が完了し、2021年2月4日~2024年5月28日の期間に、「スローヴィレッジオンラインショップ」において商品を購入した顧客のクレジットカード情報が漏洩した可能性があることが判明した。

攻撃者に「スローヴィレッジオンラインショップ」のシステムの一部の脆弱性を利用され、ペイメントアプリケーションを改ざんされたことが原因だと考えられるとしている。

漏洩した個人データの項目は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード、氏名、住所、メールアドレス、電話番号、FAX番号。クレジットカード情報が漏洩した可能性がある顧客は4494人、クレジットカード以外の個人情報データが漏洩した可能性がある顧客は2万7851人となる。

クレジットカード情報が漏洩した恐れあることから、第三者によってクレジットカードが不正に使用された可能性があるとしている。

また、対象の漏洩期間に、スローヴィレッジの決済画面のクレジットカード情報の入力欄に、2万3466件のランダムな数字の組み合わせが入力されるという事態が発生しており、最大で2万3466件の有効なクレジットカード情報が入力された可能性があるとしている。なお、この2万3466件のランダムな数字の組み合わせを用いた取引はエラー等により成立しておらず、当該数字の組み合わせに紐づいた正確な顧客情報が存在しないことから、当該数字の組み合わせに対応するクレジットカード番号が定められたクレジットカードの利用者を特定することはできない。

スローヴィレッジは、不確定な情報の公開はいたずらに混乱を招くおそれがあり、顧客への迷惑を最小限に食い止める対応が先決であると判断し、公表までの間に第三者調査機関の調査、およびカード会社との連携を行っていたとし、個人情報漏洩の懸念が生じてから今回の案内に至るまでに時間を要したことについても謝罪の意を表明した。

2024年6月20日には、監督官庁である個人情報保護委員会に対して報告を行っている。2024年6月26日には、所轄警察署である甲府警察署にも報告しており、今後捜査に全面的に協力していくとしている。

スローヴィレッジは、クレジットカードが不正に利用された可能性があることを踏まえ、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めているが、クレジットカードの利用明細書に身に覚えのない請求項目がないか、顧客への今一度の確認を呼びかけた。身に覚えのない請求項目の記載があった場合は、クレジットカード会社への問い合わせを依頼している。また、顧客がクレジットカードの差し替えを希望する場合、カード再発行の手数料について顧客の負担にならないようクレジットカード会社に依頼を行っているとした。

「スローヴィレッジオンラインショップ」では現在、単発注文時に新たにクレジットカードを登録することはできず、利用可能な決済方法はGMO後払い、Amazon Pay、代金引換(宅急便コレクト)のみとなる。クレジット決済で定期購入している顧客は、すでに登録しているクレジットカードで毎月決済できるが、不安な場合は他の支払い方法に変更できる。