ヤマダ電機、約3.8万件のクレカ情報流出か--ECに不正アクセス、セキュリティコード含む

　ヤマダ電機は5月29日、同社が運営するECサイト「ヤマダウエブコム・ヤマダモール」への不正アクセスがあり、個人情報が流出した可能性があると発表した。

　流出した可能性があるのは、カード番号、有効期限、セキュリティコードなど約3万7832人分のクレジットカード情報。2019年3月18日～2019年4月26日の期間中に、同社ECサイトでクレジットカードを新規登録・登録変更したユーザーが対象になるという。4月26日以降、カードの新規登録・登録変更を停止している。

　同社広報部に確認したところ、クレジットカード会社から情報流出している可能性があるとの指摘があり、4月16日に不正アクセスが発覚。同時に第三者調査機関「P.C.F.FRONTEO」による調査を開始し、5月20日に完了。カード情報の流出と、一部ユーザーのクレジットカード情報が不正利用された可能性があることを確認したという。

　なお、もともとヤマダ電機ではクレジットカード情報を取得しておらず、有効期限、セキュリティコードも保有していないという。今回、クレジットの新規登録とカードの変更手続きに関するページのペイメントアプリケーションが改ざんされ、ページにアクセスして登録・変更したユーザーのカード情報が不正に取得されたとしている。これは、ATMを改造してカード番号とセキュリティコードを盗み取るスキミングマシンに似た手法とも言える。

　また、情報公開がこのタイミングになった理由について同社では、「正確な状況を把握しない段階で公表することは却って混乱を招くこととなることから、『ヤマダウエブコム・ヤマダモール』での新規クレジットカード登録、及びクレジットカード情報の変更を停止させて頂き、詳細調査を依頼している第三者調査機関の最終報告書をもって報告する事とした」とリリースでコメントしている。

　同社では、流出した可能性のあるクレジットカードの取引をモニタリングしており、不正利用の防止対策を実施していると説明。あわせて、クレジットカードの利用明細書に身に覚えのない請求項目がないか確認するよう案内している。そのほか、ユーザーがクレジットカードの差し替えを希望する場合、カード再発行手数料が発生しないようヤマダ電機側からカード会社に依頼しているという。

　セキュリティ対策など改修後の新規クレジットカード登録の再開日については、改めてウェブサイト上で告知するとしている。

ヤマダ電機広報部より、クレジットカード情報を取得していない事実が確認できたため、その旨を追記しました。