GMOペパボは1月26日、同社が運営するネットショップサービス「カラーミーショップ」の利用者のクレジットカード情報と個人情報が流出(可能性も含む)したと発表した。流出規模は最大8万9548件に上る。
原因は、同サービスの独自アプリケーションの機能を悪用した不正アクセスだとしている。1月7日にサービスの情報が不正に閲覧され、ショップオーナー(出品者)と商品購入者の情報流出の可能性が浮上。同社は8日から警視庁渋谷警察署に被害を相談し、2社のセキュリティ専門企業と調査を実施し、25日に被害実態が判明した。
ショップオーナーに関する情報では、流出したクレジットカード情報が22件、流出した可能性のあるクレジットカード情報が最大9430件、流出した可能性のある個人情報が同7万7385件となる。商品購入者に関しては、最大2711件のクレジットカード情報が流出した可能性があるとしている。
同社は22日までに全ショップオーナーのパスワードリセットを実施、26日からメールや管理画面で事態の告知を開始した。情報流出の可能性がある購入者にも連絡しているという。
同社が公開したインシデント対応の経緯は以下の通り。
1月7日- 20:04 サーバ異常検知システムがアラート。調査で外部から設置された不正プログラムが実行された可能性を検知
- 22:28 不正プログラムが実行されないように改修
- 23:09 緊急対策本部(本部長は代表取締役社長の佐藤健太郎氏)を設置
- 01:33 不正プログラム経由でサービス情報の一部が閲覧された可能性を検知
- 13:39 外部セキュリティ専門機関に報告。情報調査および今後の対応を相談開始
- 17:37 外部危機管理専門家に連絡し、相談開始
- 22:16 セキュリティ診断アプリケーションでセキュリティチェックを実施
- 15:00 セキュリティ対策ソフトを設置し、社内のセキュリティチェックを実施
- 16:12 不正プログラム経由で閲覧された可能性のある情報の中にクレジットカード情報が含まれている可能性を検知
- 18:50 関係省庁に報告
- 13:34 不正プログラム経由で閲覧された可能性のある情報の中にクレジットカード情報が含まれていたため、クレジットカード各社に連絡し、不正利用の監視体制の強化を依頼
- 15:35 被害状況および影響範囲を特定するため外部セキュリティ専門機関によるセキュリティ診断および同セキュリティ専門機関と、クレジットカード情報のセキュリティ専門機関の2社によるフォレンジック調査を開始
- 14:00 本サービス利用料金の支払いにおける、クレジットカード払いの新規申込を停止
- 12:37 全ショップオーナー様のパスワードリセット完了
- 09:26 外部のセキュリティ専門機関によるフォレンジック調査の結果を受領
- 11:58 クレジットカード情報のセキュリティ専門機関によるフォレンジック調査の結果を受領
- 07:40 再発防止委員会を設置
