ワコム11月21日、ECサイト「ワコムストア」への不正アクセスにより、顧客のクレジットカード情報を含む個人情報が流出した可能性があることがわかったと発表した。同事案は、2022年8月19日にクレジットカード会社からの漏洩懸念についての連絡により発覚したもので、すでにカード決済の停止などの措置を行っている。このほど、第三者機関などの調査を経て説明の準備が整ったとし、顧客や関係者への謝罪の意を表明するとともに、原因や対応などの詳細を報告した。
ワコムの運営する「ワコムストア」は、同社製品を販売するECサイト。2022年8月19日、一部のクレジットカード会社から、同ストアを利用した顧客のクレジットカード情報の漏洩懸念について連絡を受け、2022年8月22日に「ワコムストア」での販売及びカード決済を停止したとし、このほど、不正アクセスにより顧客のクレジットカード情報を含む個人情報が流出した可能性があると発表した。
2022年8月30日には、第三者調査機関による調査を依頼。2022年9月30日に調査機関による調査が完了し、2022年2月19日から2022年4月19日午前中の期間に「ワコムストア」で製品等を購入した顧客のクレジットカード情報が漏洩し、一部の顧客のクレジットカード情報が不正利用された可能性があることが判明した。さらに2021年2月22日から2022年4月19日午前中にかけて、顧客のクレジットカード情報以外の個人情報に外部からアクセスが行われ、漏洩した可能性があることも判明したという。
ワコムでは、これらの事実を確認の上、クレジットカード会社との連携を行い、顧客に説明できる準備が整ったことから今回の発表に至ったとし、情報漏洩および発表までに時間がかかったことなどを謝罪した。
今回の情報漏洩の原因には、「ワコムストア」が2022年4月19日正午まで使用していた旧システムの一部の脆弱性をついた第三者不正アクセス、及びペイメントアプリケーションの改ざんが行われたことを挙げた。ワコムではクレジットカード情報を保持していないが、第三者調査において、当該改ざんにより決済時に入力されたクレジットカード情報が外部へ送信されていたことを確認したとしている。
2022年2月19日~2022年4月19日午前中の期間中に「ワコムストア」において製品等を購入する際に入力されたクレジットカード情報1938件については、クレジットカード名義人名、クレジットカード番号、クレジットカード有効期限、セキュリティコード、Eメールアドレスが漏洩した可能性がある。
また、過去に「ワコムストア」を利用した顧客14万7545名について、2021年2月22日~2022年4月19日午前中の期間中に、氏名、住所などの注文時入力必須項目、ストアの会員IDや所有ポイント、会社名や誕生部などの任意入力項目など個人情報についても、外部からアクセスが行われ漏洩した可能性がある。これらの条件に該当する顧客には、別途電子メールまたは書状にて個別に連絡を行うとしている。
不正アクセスがあった旧システムを用いたサイトは、2022年4月19日正午に閉鎖しており、新たな情報漏洩は発生しない状況にる。同社ストアは、2022年4月19日午後以降、独立した全く別の新しいシステムを用いた環境で運営しており、新システムの安全性は確認済みであるため、現在はクレジットカードによる決済を除く決済方法で運営を行っている。
情報漏洩の可能性がある顧客には、別途、電子メール及び書状にて個別に連絡をするとしている。ワコムはすでにクレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めている。
また、顧客に対しては、クレジットカードの利用明細に身に覚えのない請求項目が内科の確認などを呼びかけるとともに、クレジットカードの差し替えを希望する場合、カード再発行の手数料については顧客に負担をかけず、ワコムよりクレジットカード会社にするとしている。
2022年8月19日に漏洩懸念発覚から、今回の案内に至るまで時間を要したことについては、疑いがある時点で注意を喚起するとともに謝罪するところではあったとする一方で、 不確定な情報の公開はいたずらに混乱を招くことから、顧客への迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、 第三者調査機関の調査結果、及びカード会社との連携を待ってから実施したと説明するとともに、発表までに時間がかかったことを謝罪した。
ワコムはこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策及び監視体制の強化を行い、再発防止を図っていく考えを示した。不正アクセスが認められた旧システムは、2022年4月19日正午に運用を停止し、現在は安全性が確認されている新システムに移行しているが、 新システムにおけるクレジットカード決済の再開日については未定となっている。
今回の不正アクセスについては、監督官庁である個人情報保護委員会に2022年8月22日及び同年10月17日に報告済であり、 埼玉県警察のサイバー犯罪対策課及び所轄警察署の加須署にも2022年10月3日に被害を申告しており、今後捜査にも全面的に協力していくとしている。
