森永乳業のカード情報流出、被害額は2000万円に

　2018年5月9日に発表された、森永乳業の健康食品通販サイトのクレジットカード情報を含む個人情報流出問題。6月4日、同社は、その後の調査結果を発表したが、その中で、不正利用が300件強あり、被害総額は既に約2,000万円が確認されていると報告した。

　5月9日に第三者機関の調査が行われていることが発表されたわけであるが、調査は既に終了したという。結果として判明した事実としては、まずクレジットカード情報を含む個人情報が流出したと考えられる顧客数は最大に見積もって2万9,773名。カード情報を含まない個人情報が流出した顧客数は、最大で6万3,049名。合計で9万2,822名となる。

　このうちカード情報に含まれるのは、番号、名義、有効期限である。不幸中の幸いにして、セキュリティコードは流出していないことが確認できたという。

　カード以外の個人情報に含まれるのは、氏名、住所、電話番号、FAX番号、メールアドレス、性別、職業、生年月日、お届け先情報、そして受注情報である。

　ことの経緯と対応について述べていこう。

　最初に事態が発覚したのは、2018年4月24日である。カード会社からカード情報の不正使用による不正請求被害が生じているとの報告があり、同日、森永乳業は同社の健康食品通販サイトのクレジットカード決済を停止した。そして速やかに第三者調査機関「Payment Card Forensics社」に調査を依頼、25日から調査が始まり、5月31日に最終調査報告書が交付された。

　当該サイトでは2017年10月16日にサーバーの入れ替えを行っていた。現行のサーバーでは特に脆弱性などの問題は発見されなかったため、おそらくはその旧サーバのバックアップデータの脆弱性が悪用され、不正アクセスを受けたのではないかと見られている。

　個人情報が流出した疑いのある顧客に対しては、既にメール、書簡などで連絡が行われている。（記事：藤沢文太・記事一覧を見る）