事案の発生
■被害サイト(運営企業:農業生産法人 株式会社企業農業研究所)
サーバー設置先: Shopify (CA) 、 サーバー証明書: Let's Encrypt - R3 (US) DV証明書
事案の概要
企業農業研究所が運営する「なかほら牧場オンラインストア」への不正アクセスによりカード決済の画面を表示するペイメントアプリケーションが改ざんされ、個人情報が漏えいした事案です。
影響範囲
2021年4月22日~2023年7月11日、「なかほら牧場オンラインストア」でカード決済をした利用者ならびに2023年7月11日~2023年9月12日にカード情報を更新した利用者の合計5,069名のカード情報と、2017年6月1日~2023年7月11日の利用者14,933名の個人情報が漏えいした可能性があります。
ECサイトが増えるにつれ、ペイメントアプリケーションの改ざんによる被害があとを絶たず発生しています。下記は4年以上前のアパレル系の情報サイトの記事ですが、簡潔にまとめられています。
この頃からECサイトへの不正アクセスの状況は変わっておらず、本事案のように長期間気づかれることなく個人情報が盗み取られ、クレジットカード会社からの連絡で発覚する事案が毎月のように発生しています。被害に遭った企業の対応やリリースも、すっかり定型化されています。
詳細は、なかほら牧場が発行した次のリリースに掲載されています。