杏林堂薬局、ECサイトの構築・運用委託先のサーバが不正アクセスを受け個人情報が流出の恐れ
| 会社名 | 株式会社杏林堂薬局 |
|---|---|
| 株式情報 | 非上場 |
| 漏洩種別 | 流出 |
| 漏洩対象 | サーバ |
| 漏洩場所 | 社外 |
| 漏洩内容 | 氏名/住所/電話番号/メールアドレス/クレジットカード情報 |
| 漏洩件数 | 7,204件 |
| 漏洩日時 | 2021/3/25 |
| 発表日時 | 2021/11/10 |
杏林堂薬局にてECサイトの構築・運用委託先のサーバが不正アクセスを受け個人情報が流出の恐れ。同社の「杏林堂オンラインショップ」を構築・運用委託している東芝テックおよびおよびジーアールのサーバが外部からの不正アクセスを受け、同サイトで2011年3月1日から 2021年8月22日の期間中に同サイト利用した顧客情報、2021年3月25日から2021年8月19日の期間中にクレジットカード決済を行った顧客のクレジットカード情報、2018 年10月から12 月頃のクリスマスケーキおよび2019年9 月から11 月頃のボジョレヌーヴォー、10月から12月頃のクリスマスケーキを店頭で予約した顧客情報が流出した恐れがあることが判明した。
運用委託先より、同システムを利用している他の小売事業者にて、クレジットカード等の情報漏えいの懸念が発生し、当該サイトでも同様の懸念がある旨の連絡を受け、全サービスを停止し調査を開始。調査の結果、当該サイトの脆弱性を悪用するための不正な注文情報が登録された後、不正アクセスによるデータベース内への侵入およびペイメントアプリケーションの改ざんが行われていた。なお、店頭予約した顧客情報については、同サイトを構成するシステムを利用し、予約管理を行っていたため流出の可能性があることが確認された。同社は、個人情報保護委員会および所轄警察署へ被害報告を行うとともに、当該顧客に対し、お詫びと説明ならびにクレジットカードの不正利用や身に覚えのない不審なメールに注意を呼びかけている。
