漏えいしたカード情報から不正利用も

　同社によると、8月19日に一部のクレジットカード会社から、ワコムストアを利用した顧客のクレジットカード情報の漏洩懸念について連絡を受け、同22日にワコムストアでの販売とカード決済を停止。同30日に第三者調査機関による調査を依頼し、9月30日に調査が完了した。

　その結果、2月19日から4月19日にワコムストアで製品などを購入した顧客のクレジットカード情報が漏洩し、一部の情報が不正利用された可能性があることが判明するとともに、2021年2月22日から22年4月19日にかけて顧客のクレジットカード情報以外の個人情報に外部からアクセスが行われ、漏洩した可能性があることが判明した。

旧システムの一部の脆弱性をついた不正アクセスと決済ページの改ざんが原因

　原因は、ワコムストアが4月19日まで使用していた旧システムの一部の脆弱性をついた第三者不正アクセスとペイメントアプリケーションの改ざんが行われたためだった。同社ではクレジットカード情報を保持していないが、第三者調査において、改ざんにより決済時に入力されたクレジットカード情報が外部へ送信されていたことを確認している。

　個人情報漏洩の可能性があるのは、22年2月19日～4月19日午前中に、ワコムストアで製品などを購入する際に入力したクレジットカード情報1938件で、情報はクレジットカード名義人名、カード番号、有効期限、セキュリティコード、メールアドレスなど。

　また、過去に「ワコムストア」を利用した顧客14万7545人について、21年2月22日～22年4月19日にも、外部からアクセスが行われ漏洩した可能性がある。情報は、注文時の入力必須項目で、氏名、郵便番号、住所、電話番号、メールアドレス、性別。

　14万7545人のうち、10万565人のストア会員入力必須項目である会員ID、所持ポイント、メールマガジンの希望有無・形式も漏洩の可能性があるという。内容は会社名(5534人)、学校名（2992人）、FAX番号（2393人）、生年月日（4万9510人）、職業分類（4万9552人）となり、該当する顧客にはメールと書状でお詫びとお知らせの連絡を開始した。

現在カード決済を停止、新システムで決済を再開へ

　クレジットカード情報以外の個人情報については、現時点で不正利用は確認されていないが、メールアドレスを悪用した「なりすまし」や「フィッシング詐欺」など、迷惑メールが送信される可能性が考えられるとしている。

　8月19日に漏洩懸念発覚から公表に至るまで、時間を要したことについて同社は、不確定な情報の公開はいたずらに混乱を招き、顧客への迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、 発表は第三者調査機関の調査結果とカード会社との連携を待ってから行うことにしたという。

　同社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図っている。新システムによるレジットカード決済の再開日は決定次第、改めて同社ウェブサイト上で連絡するとしている。

　監督官庁の個人情報保護委員会には8月22日と10月17日に報告済であり、 また、埼玉県警察のサイバー犯罪対策課と所轄の加須署にも10月3日に被害を申告している。