ソースネクストは2月14日、自社公式サイトにおいて、第三者による不正アクセスを受け、顧客のクレジットカード情報11万2132件および個人情報12万982件が漏えいした可能性があることが分かったと発表した。謝罪の意を表明するとともに、情報漏洩の可能性のある顧客への個別連絡などの対応について公開した。
ソースネクストは、1月4日に自社サイトを利用した顧客のクレジットカード情報の漏えい懸念について一部のクレジットカード会社から連絡を受け、翌1月5日に同サイトでのカード決済を停止。同時に第三者調査機関による調査を開始した。
1月23日に調査機関による調査が完了し、2022年11月15日~2023年1月17日の期間に当該サイトにて購入を行った顧客のクレジットカード情報、および個人情報が漏えいし、一部の顧客のクレジットカード情報が不正利用された可能性があることを確認したとし、このほど不正アクセスによる顧客情報の漏洩を発表した。
漏えいの原因は、ソースネクストが運営するサイトのシステムの一部の脆弱性を利用した第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行なわれたためとしている。
個人情報漏えいの可能性があるのは、2022年11月15日~2023年1月17日の期間中に当該サイトにおいて購入した12万982名で、漏えいした可能性のある情報は、氏名、メールアドレス、郵便番号、住所、電話番号となる。またこの内、同期間中に当該サイトにおいてクレジットカード情報を登録した顧客11万2132名は、クレジットカード情報も漏洩した可能性がある。漏えいした可能性のある情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコードとなる。
ソースネクストでは、情報漏えいの可能性のある顧客について、別途電子メールにて連絡を実施するとしている。また、すでにクレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めており、クレジットカードの利用明細書に身に覚えのない請求項目がないか、今一度確認を呼びかけた。
身に覚えのない請求項目の記載があった場合は、クレジットカード会社に問い合わせるよう依頼するとともに、利用者がクレジットカードの差し替えを希望する場合、カード再発行の手数料については利用者に負担がないようクレジットカード会社に手配済であるとしている。
1月4日の漏えいの懸念から、今回の発表に至るまでに時間を要したことについては、謝罪の意を表明するとともに、不確定な情報の公開はいたずらに混乱を招き、顧客への迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、調査会社の調査結果、およびカード会社との連携を待ってからの発表になったと説明した。
ソースネクストは、今回の不正アクセスについて、監督官庁である個人情報保護委員会には2023年1月6日に、総務省関東総合通信局には1月13日に報告済みであり、また、所轄警察署にも1月10日被害申告しており、今後捜査にも全面的に協力していくとしている。
今後は、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行ない、再発防止を図っていく考えを示した。改修後の当該サイトのクレジットカード決済再開日につきましては、決定次第、改めてWebサイト上にて告知する。
