クレジットカード情報の流出について 2

お客様各位

2019年9月19日
有限会社フィセル
代表取締役社長 清水秀治

弊社ウェブショップにおける個人情報流出に関するお詫びとお知らせ

(クレジットカード情報の流出について 2)

謹啓

平素より弊社商品をご愛用いただきまして誠にありがとうございます。

弊社は、弊社商品をインターネット上で販売する「10mois WEBSHOP」(https://www.ficelle.co.jp/)を開設しておりますところ、この度、同サイトにおいて外部からの不正アクセスがあり、同サイトでクレジットカード決済をご利用されたお客様の個人情報が流出した可能性があることが判明いたしました。

この度の件でお客様に対し、多大なご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。
また、外部の専門会社への調査の依頼やクレジットカード会社との協議等を行ったため、今回の公表まで時間を要しましたことにつきましても併せてお詫び申し上げます。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を徹底してまいります。

謹白

 

本件の経緯及び本件を受けての弊社の対応等

1 個人情報流出があったサイト

「10mois WEBSHOP」(https://www.ficelle.co.jp/)
なお、上記以外のAmazon(アマゾン)、ZOZOTOWN(ゾゾタウン)等の上記弊社ウェブショップ以外のECサイトで商品を購入されたお客様の個人情報の流出はありません。

 

2 個人情報流出の内容

(1)期間

2019年5月14日~2019年5月20日

(2)個人情報が流出した可能性のあるお客様

上記期間中に「10mois WEBSHOP」(https://www.ficelle.co.jp/)から転送された偽決済ページにおいてクレジットカード情報を入力されたお客様  最大30件[1]
※正規の決済に進まず、偽決済ページのみに入力されたお客様の情報並びにクレジットカード情報の特定はできておりません。
※上記期間中に弊社ウェブショップから転送された偽決済ページにおいてクレジットカード情報を入力されたお客様におかれましては、至急弊社までご連絡をいただきますようお願い申し上げます。

(3)流出した可能性のある情報

・クレジットカードのカード会員名
・クレジットカードのカード番号
・クレジットカードの有効期限
・クレジットカードのセキュリティコード番号

 

3 個人情報流出の原因

上記サイトに脆弱性を狙った外部からの不正アクセスにより、ペイメントモジュールの改ざんが行われました。
2019年3月27日以降、弊社においては,クレジットカード決済を停止しておりましたが、上記不正アクセスにより、弊社ウェブショップで商品を購入しようとされたお客様を偽のクレジットカード情報入力画面に誘導するよう弊社ウェブサイトの改ざんが行われました。この誘導された偽のクレジットカード情報入力画面においてクレジットカードカード情報をご入力いただいたお客様につき、同画面でご入力いただいた情報が外部に流出した可能性があります。

 

4 本件の経緯及び公表までの弊社の対応

(1)本件より前事件の発覚・調査

弊社においては、2019年3月27日に個人情報流出の可能性が判明した情報漏洩案件につき、「P.C.F Fronteo株式会社」(P.C.F. Fronteo, Inc.,以下「PCF社」といいます。)へのフォレンジック調査の依頼、及び同調査を受けての決済代行会社及びクレジットカード会社等との対応の協議等を進めておりました[2]。
また、上記案件を受けて、弊社においては、弊社ウェブショップでのクレジットカード決済を停止しておりました。

(2)本件の発覚

上記案件についての対応を行っている最中、お客様より、
・弊社ウェブショップでクレジットカード情報の入力画面が現れた。
・クレジットカード情報を入力しても決済は完了せず、クレジットカード情報を入力後にカートが空になった
とのご連絡がありました。
これを受けて弊社においては2019年5月20日に弊社ウェブショップを停止しました。
あわせて、2019年5月24日にPCF社に追加のフォレンジック調査を依頼し、同月31日に追加のフォレンジック調査の報告書をPCF社より受領いたしました。

(3)対応協議

弊社においては、PCF社より受領した追加の調査報告書の内容について速やかに決済代行会社及び決済代行会社を通じてクレジットカード会社と共有するとともに、関係者との間で今後の対応等についての検討を行いました。

(4)関連機関への報告

2019年6月4日 蒲郡警察署に被害申告。
2019年6月17日 個人情報保護委員会へ報告。
2019年9月25日 蒲郡警察署にて被害届の受理。
今後も関連機関と協力しながら、本件の調査、対応を行って参ります。

また、弊社ウェブショップ「10mois WEBSHOP」(https://www.ficelle.co.jp/)におきましては再開の際に改めて弊社よりご案内申し上げます。

 

5 お客様へのお願い

上記2019年5月14日~2019年5月20日までの間に弊社ウェブショップから転送された偽決済ページでクレジットカード情報を入力したお客様におかれましては、お手数をお掛けいたしまして大変恐縮ではございますが、至急弊社までご連絡をいただきますようお願い申し上げます。

※転送先のページは弊社ウェブサイト外のページであり、同ページでクレジットカード情報を入力しても決済は完了しないため、弊社においては転送先のページでクレジットカード情報を入力したお客様を把握することができません。

【転送先のクレジット情報入力画面の例】

 

6 本件を受けての弊社の今後の対策について

弊社は,この度の事態を受け、以下のア〜イなど,再発防止のための対策を徹底し進めて参ります。
ア 情報セキュリティのインフラ整備と強化

弊社ウェブショップの再開に際しては、プラットフォームやシステムの変更を含め、ウェブショップのセキュリティ強化に万全を期します。

イ コンプライアンス体制の確立

2020年3月頃までにISO27001認証取得を目指し、セキュリティ規程の策定や弊社従業員に対する社内教育を行います。

 

7 本件についてのお問い合わせ先

(1)電話でのお問い合わせ(2019年10月21日〜)

有限会社フィセル お客様お問い合わせ窓口
0120-831-017(フリーダイヤル)
受付時間:9時30分〜17時30分(土日祝を除く)

(2)メールでのお問い合わせ

support@ficelle.co.jp
お問い合わせが繋がりにくい場合は、弊社ホームページに「Q&A」(https://www.ficelle.co.jp/?page_id=2425)を設置いたしましたのであわせてご参照ください。

 

この度は、弊社ウェブショップの脆弱性が原因でお客様に多大なご迷惑とご心配をおかけいたしましたこと深くお詫び申し上げます。
今後は、二度と同様の事態を発生させることのないよう、再発防止策を徹底するとともに、お客様の個人情報の管理体制の強化に努めてまいります。

以 上

 

[1] フォレンジック調査の結果、上記期間中にクレジット情報入力ページへの転送が行われたことが確認できたIPアドレスの件数。

[2] 本件につきましては、以下にて詳細をご説明させていただいております。
「クレジットカード情報漏洩について」(https://www.ficelle.co.jp/?p=2481