- 元記事:本市が運営する「志布志市ふるさと納税特設サイト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ
- 元記事:本市が運営する「志布志市ふるさと納税特設サイト」への外部の第三者からの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ(第 2 報)
- HP:志布志市
| 会社名 | 志布志市 |
|---|---|
| 株式情報 | 非上場 |
| 漏洩種別 | 流出 |
| 漏洩対象 | Web |
| 漏洩場所 | 社外 |
| 漏洩内容 | 氏名/メールアドレス/電話番号/クレジットカード情報/住所/生年月日(2023年7月20日追加) |
| 漏洩件数 | |
| 漏洩日時 | |
| 発表日時 | 2023/6/22 |
志布志市にて不正アクセスを受け個人情報が流出。同市の「志布志市ふるさと納税特設サイト」にて、外部からの不正アクセスを受け、当該サイトから寄付した市民のクレジットカード情報が流出した。
一部のクレジットカード会社から、当該サイトを利用した寄付者のクレジットカード情報の流出と不正利用の懸念の連絡があり、直ちに対策本部を設置して鹿児島県警察に事案を報告するとともに、保守管理会社及び第三者調査機関による調査を行った結果、2021年3月12日から2021年12月29日の期間に当該サイトでクレジットカード決済を行った寄付者の個人情報の流出が確認された。原因は当該サイトのシステムのEC-Cubeに存在する脆弱性を悪用したクロスサイトスクリプティング手法による不正アクセスにより、クレジットカード決済を実行した際に処理されるクレジットカード情報を盗取するプログラムが サーバ内に埋め込まれたことによると思われる。
なお、当該サイトは2022年10月24日に決済機能を停止しており、それ以降の新たな情報流出はないとしている。また、当該サイトでのクレジットカード決済以外の他のポータルサイトでのクレジットカード決済や郵便振替による寄付者のクレジットカード情報は流出していない。クレジットカード情報以外の情報に関する調査は現在も継続中のため、判明次第公表するとしている。
同市はクレジットカード会社と連携して対象のクレジットカード取引のモニタリングを実施しているが、クレジットカードの利用明細書に身に覚えのない請求項目がないか確認するよう呼びかけている。
同市のふるさと納税特設サイトが不正アクセスを受けクレジットカード情報が流出した件で、個人情報流出の有無について調査中であったが、調査が完了したとして続報を公表した。不正アクセスによる利用者情報の漏えいの可能性について、外部機関による調査を行った結果、2019年6月28日∼2019年7月5日、及び2021年3月11日∼2021年12月24日にかけて同サイトにて会員登録及び寄付を行った利用者の個人情報の流出が発覚した。原因は利用者情報データベースを外部から操作できる不正なファイルを同サイト内に設置されていたことによる。同市は対象者へメールまたは書面にて説明とお詫びを行い、個人情報保護委員会や警察との連携を継続し、再発防止に努めるとしている。なお現時点で悪用による二次被害の報告はない。(2023年7月20日追加)