カラーミーショップを運営するGMOペパボ株式会社は26日、カラーミーショップでネットショップを運営している一部のショップオーナーと、カラーミーショップで構築したネットショップで商品の購入を行なった一部の購入者のクレジットカード情報の流出、またその可能性があることを発表した。

 

不正アクセスの経緯は、2018年1月7日、カラーミーショップにおいて独自アプリケーションの機能を悪用した不正アクセスが発生し、本サービスの情報が閲覧され、ショップオーナーおよび購入者の情報が流出した可能性があることが判明。

その後、直ちに侵入経路を遮断し、不正なプログラムが実行されないよう、悪用されたアプリケーションの機能を停止した。あわせて、被害状況の把握と二次被害防止対策を検討するため社内調査を継続、翌8日には外部のセキュリティ専門機関にも調査を依頼し、調査を進めたところ、10日、閲覧された可能性のある情報の中に、一部のショップオーナー様および購入者様のクレジットカード情報が含まれていたことが判明した。

これを受けて、クレジットカード各社へ当該クレジットカード情報を報告し、不正利用監視の体制強化を依頼するとともに、本件に関して、警視庁渋谷警察署に相談および、セキュリティ専門機関2社によるフォレンジック調査を開始。25日、セキュリティ専門機関によるフォレンジック調査結果を受領したことを受けて、被害状況が判明したため発表した。

 

流出したクレジットカード情報と件数

 

また、今回の情報流出はクレジットカード情報以外にもログインIDやハッシュ化済みパスワードを始めとする個人情報の流出も判明している。

 

GMOペパボは本件への対応として、22日までにショップオーナーのパスワードをリセット、電子メールとカラーミーショップ管理画面で本件に関するお詫びの連絡、クレジットカード情報が流出した可能性がある購入者への連絡、専用の問い合わせ窓口の設置を行っている。

 

GMOペパボの対応の経緯は下記のとおりだ。

 

GMOペパボは26日に臨時の取締役会を開催、代表取締役社長の佐藤健太郎氏を委員長とした再発防止委員会を設置。外部の専門家アドバイザーも招集する。カラーミーショップを含めた全てのサービスのセキュリティ強化と再発防止に取り組み、信頼回復に努めるという。