任天堂公認アパレルも展開「エディットモード」に不正アクセス、最大1万4679件の顧客クレジットカード情報がセキュリティコードまで漏えいしていた


 

任天堂公認アパレルも販売していることで知られる「エディットモード」は12月7日、エディットモードショッピングサイト「editmode.jp」が外部から不正アクセスを受け、顧客の個人情報データが漏えいしたと発表しました。

「editmode.jp」は2018年7月よりサイトシステムに問題が発生したことを理由に停止中。代替サイトで現在販売が続けられています。サイトシステムの問題の詳細はこれまで伏せられていましたが、不正アクセスによる個人情報漏えいのことでした。

不正アクセスによる個人情報流出に関しまして

いつもご利用いただきましてありがとうございます。
弊社ウェブサイト「editmode.jp」(本年7月より閉鎖中)が外部から不正アクセスを受けていたことが判明し、時間を掛けて調査を行いましたところ、ご利用いただいておりますお客様の個人情報の流出が確認されました。
該当されるお客様には既に書面をもってご報告申し上げておりますが、改めましてこちらにてご報告いたします。

詳細につきましてはこちらよりご確認ください。
https://editmode.shop-pro.jp/?mode=f2

お客様及び関係各所の皆様に多大なるご迷惑とご心配をおかけいたしましたことを深くお詫び申し上げます。
今回の事態を厳粛に受け止め、今後このようなことが再発しないよう対策を講じて参る所存です。
尚、現在稼働中の代替サイト「editmode.shop-pro.jp」は安全な環境下で運営しておりますのでご安心ください。

これからも皆様にご満足いただける商品を作り続けて参りますので、改めましてよろしくお願い申し上げます。

エディットモード 代表/江南 匡晃

不正アクセスによる個人情報流出に関しまして – EDITMODE / THE KING OF GAMES

情報漏えいがあったと考えられるのは2018年3月7日から2018年7月11日までの4か月間。この期間にショッピングサイトでクレジット決済を新規に利用した方が対象です。流出した可能性のある個人情報データは最大で1万4,679件。このうち、実際にこの期間内に商品購入が行われた注文は2,169件だったとのこと。

1万件以上もの開きがありますが、これは不正アクセスした侵入者が、手元のカード情報が有効かどうかをエディットモードのサイトを使用して利用可能かどうか確認する「有効性確認」を行っていた痕跡を確認でき、その件数が1万4,679件の中に含まれているためだと説明されています。

流出したクレジットカード情報は次の4点です。セキュリティコードまで。。

  • カード氏名
  • クレジットカード番号
  • クレジットカード有効期限
  • セキュリティコード

エディットモードによると、7月11日にカード会社から指摘を受けて、オンラインショップで情報漏えいの懸念の可能性が高いことが判明。被害拡大防止のため、ただちにカード決済およびサービスを停止しました。

クレジットカード会社には該当するクレジットカード情報を報告し、不正利用防止のモニタリングを依頼しているといいます。

エディットモードのサイトは2018年1月にセキュリティ向上を目的としてアップデートを実施したばかりでした。しかしアップデートを依頼した管理会社の不手際により、外部から簡易にアクセスができる仕様となっていました。

このためエディットモードでは、今回の情報漏えいの直接的な原因となった管理会社との契約を解消し、新たに信頼のおける管理会社と契約しています。

調査会社から指摘されたシステムの脆弱性や管理体制の不備な点については、従来のサイトを閉鎖し、サーバー・システムからすべて新たに制作。さらなるセキュリティの強化・改修を進めているとのこと。

現在の代替サイト「editmode.shop-pro.jp」では決済代行会社イプシロンと契約し、レンタルサーバー「カラーミーペイメント」のサービスを利用。安全な環境で運営していることを強調します。

エディットモードは、7月11日に流出の懸念が発覚してから実際の発表に至るまで時間がかかったことを、深くお詫び申し上げます。と謝罪。通販サイトの会員に対しては12月4日、手紙で漏洩が起こった事実を伝え、自社ストアで使える500円分のクーポン(半年の期限付き)を配布しました。

公表まで時間がかかった理由については、決済代行会社との協議の結果、不確定な情報の公開は混乱を招くため不適切であると判断したことや、被害を最小限に食い止める対応準備を整えてから公表したほうが良いと判断したため。

エディットモードでは、クレジットカード会社による監視システムで不正利用防止のモニタリングを行っているものの、念のため該当する方はカードの利用明細を確認し、不審な請求がないか確認し、万が一ある場合は利用しているカード会社へ問い合わせてほしいとしています。もし、カード番号を変更したい場合はエディットモードが負担するとのこと。

なにせ氏名だけでなくカード番号から有効期限、セキュリティコードまで流出していたのに、7月の発覚から今まで伏せられていました。

エディットモードはTシャツ制作やショップサイト制作等幅広く手掛ける京都のデザイン会社。任天堂公認アパレル「THE KING OF GAMES」を展開していることでも知られています。7月以降も『スプラトゥーン2』などの新作アパレルを発表。流出を報告した翌日の12月8日も、新作「メガドライブ / NUMBER 16」を発表しています。

関連キーワード

share