以前購入したことのある「ねこはぐ」。
販売元のペットハグから『大切なお知らせです 必ずお読みください』と赤字で書かれたレターが届き、何かと思ったら個人情報流出に関するお詫びでした。
え?どういうこと?
不正アクセスでクレジットカード情報流出の可能性
レターには今回の件に関するお詫びと経緯が書かれたものが書面3枚にてつづられていました。
内容はホームページに掲載されていたものとほぼ一緒。
不正アクセスに関するお詫びとお知らせ
どうやらペットハグのサイトからクレジットカード決済した情報が流出したかもしれないとのこと。
経緯をまとめると、
| 2019年5月7日 | クレジットカード会社からペットハグサイト利用者のカード情報が流出された懸念があるとペットハグに連絡が入る。 |
| 同日、同社はペットハグサイトのカード決済を停止。 | |
| 2019年6月19日 | 第三者調査機関による調査完了。 以下①②に該当する顧客のクレジットカード情報が流出し、一部の顧客でクレジットカードの不正利用が行われた可能性があることが明らかとなる。①2018年6月28日~2019年5月7日の期間にペットハグサイトでカード決済した ②2019年5月18日~2019年5月20日の期間にペットハグサイトでカード情報を入力した |
| 同日、所轄警察の目黒警察署に被害申告。 | |
| 2019年6月20日 | 監督官庁である個人情報保護委員会に申告。 |
| 2020年1月15日 | ペットハグサイトで本件を公表 |
事態の発覚から今回の発表まで時間がかかったことについては、不確定な情報の公開は混乱を招きかねず、調査結果の確認と対応準備を整えるためクレジットカード会社と連携をとっていたためと説明されています。
私も会社勤めをしていたので対応に時間がかかるのは分かりますが、調査完了から発表までがちょっと長くてびっくりしました(^^;
サイトでのカード決済は2019年5月7日に停止しているのにその後に②のカード決済がされてしまったのはなぜなのだろう…。と疑問でしたが、その原因も記されていました。
ペットハグサイトからのクレジットカード情報流出の原因
主となる原因はサイトのシステムの脆弱性をついた第三者からの不正アクセスとのこと。
①の2018年6月28日~2019年5月7日にペットハグサイトでクレジットカード決済をした顧客のカード情報流出については、ペイメントモジュールの改ざんによるものと報告されています。
つまり、誰かが決済に関連するシステムに手を加え、情報を抜き取っていたと…。
②の2019年5月18日~2019年5月20日の期間での不正アクセスでは、ペットハグサイトの改ざんによって偽の決済フォームへ誘導され、その偽の決済フォームに入力した情報が抜き取られたとのことでした。
この「ペイメントモジュールの改ざん」によるカード情報の流出は実はけっこう多いようで、検索してみると色々な企業のお詫び文が出てきます。
購入者としては「サイトが設置している決済フォーム」であると疑わずに入力を進めてしまいますからね…。こわいです…。
流出した可能性があるクレジットカード情報
なお、流出した可能性があるのは以下の情報です。
| ①2018年6月28日~2019年5月7日の期間にペットハグサイトでカード決済した方 (4011件) |
・クレジットカード名義人名 ・クレジットカード番号 ・有効期限 ・セキュリティコード |
| ②2019年5月18日~2019年5月20日の期間にペットハグサイトでカード情報を入力した方 (87件) |
・クレジットカード名義人名 ・クレジットカード番号 ・有効期限 ・セキュリティコード |
私は上記の①に当てはまるため今回の案内が届きました。
どのカードを登録していたか確認したいけれどマイページのカード情報のページはメンテナンス中…。
おそらく案内状に記載されているサポートに連絡すれば教えてもらえると思いますが、今のところ履歴に不審な点はないので大丈夫かなと思っています。
身に覚えがのない請求があった方はクレジットカード会社に問い合わせをしてみてくださいね(私からお伝えすることではないですが)。
なお、カードの差し替えを希望する場合は再発行手数料がかからないようカード会社にペットハグから手配してあるとのことなので、気になる方は手数料無料で再発行できます。
ちなみにお詫び状と一緒に500円のクオカードが同封されていました。
4000件以上に500円のクオカード…総額200万以上となると企業としてはけっこう痛手な気がします(そうでもないのかな)。
ペットハグサイトでのカード登録再開日は今後ホームページで公開
ペットハグサイトでの「クレジットカード登録」と「新規注文に関するクレジットカード決済」の再開日は案内時にはまだ未定とのことです。
ねこはぐは販売終了しているので、いぬはぐを購入されている方やこれからいぬはぐを購入したい方はちょっと不便ですね。
サイバー攻撃はどこの会社でも起こりえるので、消費者としても個人情報やカード情報を入力する際は不審な点がないか今一度気を付けようと思いました。
