熊本ワインは6月17日、運営する通販サイト「熊本ワインショッピングサイト」が不正アクセスを受けて、クレジットカード情報が最大444件流出した恐れがあると発表した。
同社によると、今年1月22日、通販サイトにおいてアプリケーションの機能を悪用した不正アクセスにより、決済情報入力画面が書き換えられ、ユーザーが入力したカード情報が盗み取られていることが分かった。その後、不正なプログラムが実行されないよう、悪用されたアプリケーションの機能を停止し、30日にカード決済機能を停止した。2月4日にはサイトを一時閉鎖している。
あわせて、被害状況の把握と二次被害防止対策を検討するため社内調査を継続、熊本県警察本部サイバー犯罪対策課に調査を依頼するとともに、外部のセキュリティー専門機関が、情報漏えいの被害把握や原因究明を行う「フォレンジック調査」を開始した。3月30日には、調査結果を受けて被害状況が判明している。
流出した恐れがあるのは、カード番号・カードの有効期限・セキュリティーコード・カード会員の住所・カード会員の氏名で、最大444件。カード情報を入力する偽サイトが表示され、ユーザーが入力した情報が漏えいした。流出した恐れがある購入期間は、昨年12月5日~1月30日。さらに、データベースへの侵入が可能な状態となっていたことから、最大7542件の会員情報も流出した恐れがある。内訳は住所・氏名・電話番号・メールアドレス・購入履歴・発送先情報・会員ID・パスワード。
同社ではカード会社に対し、流出した可能性のあるクレジットカードによる取り引きのモニタリングを依頼しているほか、対象者がカードの差し替えを希望する場合、再発行の手数料を負担する。同社では、全サービスのセキュリティー強化と再発防止に取り組むとともに、調査結果を踏まえ、外部の専門家アドバイザーを含めた管理体制構築と対策を講じるとしている。