日清紡グループで紳士シャツの販売などを手掛ける東京シャツ(東京都台東区)は6月7日、同社が運営するECサイト「東京シャツ公式オーダーサイト」が不正アクセスを受け、セキュリティコードを含むクレジットカード情報など計2218人分が漏えいした可能性があると発表した。ECサイトの脆弱性を突かれ、利用していたWebアプリを改ざんされたという。

 漏えいした可能性があるのは、(1)2019年4月2日から22年3月8日にかけ、ECサイトにクレジットカード情報を入力した人のカード番号、名義人、有効期限、セキュリティコード、IPアドレス、氏名、住所、メールアドレスなど991人分、(2)19年4月2日から22年5月26日にかけてECサイトに登録した人の氏名や生年月日など33人分、(3)21年10月1日から22年3月8日にかけて、東京シャツの店舗にあるタブレット端末からシャツを注文した人の氏名や住所、メールアドレスなど1194人分──など。

 (3)については、タブレット端末からの注文情報を東京シャツ公式オーダーサイトと同じサーバに保存していたことから、漏えいの可能性があるとしている。東京シャツが運営する別のECサイト「東京シャツ公式通販サイト」への影響はなく、東京シャツ公式オーダーサイトにあった脆弱性も確認していないという。

 東京シャツは現在、クレジットカード会社と連携し、情報が漏えいした恐れのあるカードの取引情報を監視しているという。個人情報保護委員会への報告は完了済み。今後はセキュリティや不正アクセスの監視体制を強化し、再発防止につなげる。

 事態が発覚したのは22年3月1日。クレジットカード会社から情報漏えいの可能性を受けたことから判明したという。東京シャツは同日に東京シャツ公式オーダーサイトと、サイト内でのカード決済を停止。4月21日にカード情報が漏えいした可能性が、6月7日までにそれ以外の情報が漏えいした可能性が明らかになったことから、発表に至った。

 ECサイトへの不正アクセスを巡っては、井上商事が6月7日、ECサイト「スイーツパラダイス オンラインショップ」の決裁システムを改ざんされ、セキュリティコードを含むクレジットカード情報7645件が漏えいした可能性があると発表するなど、似た手口による被害が相次いでいる。