千趣会、子会社の出産内祝いギフトサイトで個人情報13万件超が流出の可能性、管理会社のサーバーに不正プログラム

　株式会社千趣会は15日、同社子会社の株式会社ベルネージュダイレクトが運営するギフトECサイトのサーバーに対して不正アクセスがあったことを公表した。会員の個人情報やクレジットカード情報のほか、ギフト送付先の個人情報も合わせ、13万件以上が流出した可能性があるとしている。

　流出した可能性があるのは、「ベビパラハッピーギフト」「Pre-moギフト」「TOMATOMAギフト」「ベビパラギフト」という4つの出産内祝いギフトサイトで、2012年9月20日から2015年8月26日までの期間に登録・注文された情報。

　具体的には、4サイトの会員の情報が2万1994件。氏名、住所、電話番号、メールアドレス、パスワードなどのほか、このうち1万3713件についてはクレジットカード情報も含まれる。ただし、流出した可能性のあるクレジットカード番号の不正使用による被害は、現時点で確認されていないとしている。

　このほかに、ギフトの送り先の情報が11万564件。これには氏名、住所、電話番号が含まれる。

　会員とギフト送り先の重複分を除いた総件数は、13万1096件。

　なお、現在稼働中のベルネージュダイレクトのサイトは、サービスを停止した旧サイトとは別サーバーで管理・運営しているため、影響はないとしている。

　ベルネージュダイレクトの孫請け会社としてウェブ／サーバー管理を行っていたセキ株式会社（愛媛県松山市）が8月21日、不正アクセスの形跡を発見し、調査を開始。9月3日、報告を受けたベルネージュダイレクトが同日18時までに対象ECサイトのサービスを停止。9月7日より、同社サイトや会員向けのメールで不正アクセスがあったことを告知していた。

　セキによると、同社企画部門のウェブサーバーにおいて、脆弱性を突かれて不正プログラムが仕掛けられていたという。このサーバーには、17社の最大約26万7000件の顧客情報が保存されていた。このうち一部について流出が確認されているが、すべての顧客情報が流出したかどうかは現時点で不明であり、調査中だとしてる。