デザインX、不正アクセスにより個人情報が流出

会社名 株式会社デザインX
株式情報 非上場
漏洩種別 流出
漏洩対象 Web
漏洩場所 社外
漏洩内容 氏名/クレジットカード情報/住所/電話番号/メールアドレス
漏洩件数 2020/11/27~2020/12/9
漏洩日時 2020/12/8~2021/3/9
発表日時 2021/3/29

デザインXにて不正アクセスにより個人情報が流出。同社が運営する法人向けECサイト「ApparelX」にて、第三者からの不正アクセスにより、2020年11月27日から2020年12月9日の期間に同サイトで購入された顧客のクレジットカード情報が漏洩し、一部の顧客はクレジットカードを不正利用された。

同社ITチームが決済ページ上でファイルの改ざんが行われていることを検知し、直ちに同社サービスの脆弱性をついてサーバーに設置された攻撃ファイルを削除した。原因は、ファイルアップロードプログラムの脆弱性をついたことによる第三者の不正アクセスにより、決済ページの改ざんが行われたためで、当該ファイルは決済ページ上のクレジットカード入力フォームを偽装することで、決済時に入力されるクレジットカード情報を外部サイトに転送し、窃取するというものであった。調査を進めたところ、クレジットカード情報だけではなく、クレジットカード決済を行った、注文の出荷先名、出荷先Eメールアドレス、出荷先住所、出荷先電話番号も漏洩した可能性があることが発覚。同社は、所轄の警察署に届け出をするとともに、決済代行会社の指導によりカード決済を停止した。同社は当該顧客にお詫びと説明ならびにクレジットカードの不正利用に注意を呼び掛けている。