三恵は12月9日、自社ECサイト「【公式】大人かわいい下着・ブラジャーの三恵通販サイト」の旧サイト(すでに閉鎖済)において、不正アクセスによる顧客情報漏えいの可能性があると発表し、謝罪の意を表明した。漏洩の可能性があるのは、クレジットカード情報等7万1943件を含む、個人情報29万2707件で、漏洩の可能性がある顧客には、個別の連絡を開始している。
三恵は、2024年6月26日に、一部のクレジットカード会社から、自社ECサイト「【公式】大人かわいい下着・ブラジャーの三恵通販サイト」を利用した顧客のクレジットカード情報の漏洩懸念について連絡を受けた。
三恵では、この連絡を受ける以前の2024年5月15日に連絡のあった「【公式】大人かわいい下着・ブラジャーの三恵通販サイト」(旧サイト)から、新システムによる新サイトへ移行していたが、あらゆる可能性を考慮し、新サイトでのカード決済を停止。第三者調査機関による調査も開始した。
2024年9月24日に、調査機関による調査が完了し、2019年12月27日~2024年5月15日の期間に、「【公式】大人かわいい下着・ブラジャーの三恵通販サイト」の旧サイトで商品を購入した顧客のクレジットカード情報が漏洩し、一部の顧客のクレジットカード情報が不正利用された可能性があること、また、2024年5月15日までに旧サイトにおいて登録された顧客の個人情報が漏洩した可能性があることを確認。これらの事実が確認できたことから、今回の発表に至ったとしている。
漏洩の原因については、自社ではクレジットカード情報を保有していなかったが、旧サイトのシステムの一部の脆弱性をついた第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたとした。
クレジットカード情報等漏えいの可能性がある顧客は、2019年12月27日~2024年5月15日の期間中に「【公式】大人かわいい下着・ブラジャーの三恵通販サイト」の旧サイトにおいてクレジットカード決済をした7万1943名で、漏洩した可能性のある情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード、メールアドレス、郵便番号、電話番号となる。
個人情報のみ漏洩した可能性がある顧客は、2024年5月15 日までに旧サイトを利用した29万2707名で、流出した可能性のある情報は、氏名、生年月日(任意入力項目)、性別(任意入力項目)、住所、電話番号、メールアドレス、旧サイトのログインパスワード(暗号化済み)、注文情報となる。
情報漏洩の可能性がある顧客に対しては、電子メール、または書状にて個別に連絡を行うとしている。
三恵では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを開始し、不正利用の防止に努めているとし、顧客自身へのクレジットカードの利用明細書に身に覚えのない請求項目がないか、今一度確認を呼びかけた。身に覚えのない請求項目の記載があった場合は、クレジットカードの裏面に記載のカード会社に問い合わせを依頼している。クレジットカード情報漏洩の可能性がある顧客が、クレジットカードの差し替えを希望する場合、カード再発行の手数料の負担が生じないようクレジットカード会社への依頼も行っている。
また、ログインパスワード漏洩の可能性がある顧客に対しては、他のサイトで同一の値のログイン ID・パスワードを使用されている場合には、念のため他のサイトにおいてもログイン ID・パスワード変更をお願いしたいと呼びかけた。身に覚えのない電子メールについても、メールを開かない、不審なリンクや添付ファイルをクリックしない等の対応を呼びかけるとともに、不審な電話がかかってきた場合には、重要な情報等を伝えないよう呼びかけた。
三恵はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策、および監視体制の強化を行い、再発防止に努める考えを示した。
不正アクセスがあった旧サイトはすでに閉鎖しており、新たな情報漏洩は発生しない状況にある。また、現在運用中の「【公式】大人かわいい下着・ブラジャーの三恵通販サイト」は、旧サイトから独立した全く別の新しいシステム環境で運営しており、安全性を確認済なことから、現在はクレジットカードによる決済を除く決済方法で運用を行っている。
今回の不正アクセスについては、監督官庁である個人情報保護委員会に2024年7月1日に報告を行っている。警視庁にも2024年6月28日に被害申告しており、今後捜査にも全面的に協力していくとしている。
テックトピア:米国のテクノロジー業界の舞台裏 第17回 「デビッド・メイヤーを追え!」、ChatGPTの応答拒否に隠された謎
