東映ビデオ オンラインショップで不正アクセス、クレジットカード情報1万件以上漏洩の可能性


公開日:

東映ビデオ株式会社は9月30日、同社が運営する東映ビデオ オンラインショップ(https://www.toei-video.co.jp/)が第三者による不正アクセスを受け、顧客のクレジットカード情報(10,395件)が漏えいした可能性があるとカード会社より指摘を受けたことを発表した。

弊社が運営する「東映ビデオ オンラインショップ」への不正アクセス事象に関する お詫びとお知らせ

弊社が運営する「東映ビデオ オンラインショップ」への不正アクセス事象に関するお詫びとお知らせ より

東映ビデオによると指摘を受けたのは2020年5月11日。

同日中に全サービスを停止し、第三者機関による調査を行ったところ、システムの一部の脆弱性をついたことによる第三者の不正アクセスがあり、2019年5月27日から2020年5月11日までの間に当該サイトを利用したユーザーのクレジットカード情報が漏洩した可能性があることが判明した。

漏えいの可能性があるカード情報

2019年5月27日から2020年5月11日までの期間に当該サイトにおいてクレジットカード決済を行った最大10,021名(10,395件)。

漏えいした可能性があると指摘を受けているクレジットカード情報は次の通り。

  ・クレジットカード名義人名

 ・クレジットカード番号

  ・有効期限

  ・セキュリティコード

同社では上記に該当するユーザーに対しクレジットカードの利用明細に身に覚えのないものがないか確認を呼びかけるとともに、再発防止策として現行システムの破棄、サーバーを含めたシステムの移行、監視体制強化を行うとしている。

なお、同社では本件に対する問い合わせ窓口を設けているほか、FAQも用意している。

問い合わせ窓口、FAQは以下の通り。

お問い合わせ窓口

<お問い合わせ専用ダイヤル>

受付時間:10:00~17:00

フリーダイヤル:0120-006-360

※受付日時は変更させて頂く場合がございます。

 <お問い合わせ専用メールアドレス>

メールアドレス:contact_toei-video@user-support.jp

FAQ

弊社が運営する「東映ビデオ オンラインショップ」への不正アクセス事象に関するお詫びとお知らせ

利用していたCMSはEC-Cube

当社にてwebアーカイブから当該サイトを調べてみたところ、被害発生直後とみられる2019年5月30日のデータが見つかった。

ソースを確認するとEC-Cubeの特徴的なヘッダー部分があり、

 を確認すると、

 の記載が見られた。

2013年のEC-Cubeということになると、重大な脆弱性が存在しているバージョンである可能性が高く、少なくとも被害発生時点では危険なバージョンが稼働していたとみられる。

EC-Cubeの2,13以前は、2019年12月までにインターネットショップが公表した漏えい事案において約14万件のクレジットカード番号等が漏えいしているなど被害が相次いでいることから、2019年12月20日に経済産業省が注意喚起を行っている

なお、EC-CUBEの脆弱性情報は以下のページで確認できる。

脆弱性リスト | ECサイト構築・リニューアルは「ECオープンプラットフォームEC-CUBE」

関連記事



カテゴリ:
タグ:



関連記事