「Safari Lounge」への不正アクセス事象に関するお知らせ

 このたび、弊社が運営する「Safari Lounge(https://safarilounge.jp/)」(以下、「当該サイト」といいます。)におきまして、第三者による不正アクセスを受け、2020年1月9日から2020年5月29日までの期間にお客様のクレジットカード情報4,544件が漏えいした可能性があることが第三者調査機関(フォレンジック調査会社)の調査にて判明したため、この度事実関係を公表することに相成りました。お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
 なお、クレジットカード情報が漏えいした可能性があると指摘を受けたお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
 弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
 お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。


1. 経緯
 2020年5月27日、クレジットカード会社より、弊社が契約する決済代行会社を通じて弊社オンラインショップにてクレジットカード決済を利用したお客様のカード情報が漏えいしている可能性があると指摘を受け、当該サイト内のクレジットカードトークン決済システムを2020年5月27日に停止いたしました。また、2020年5月28日に情報漏えいの事実確認のため、第三者機関に対してフォレンジック調査を依頼し、調査を開始いたしました。
 2020年7月17日、第三者機関による調査が完了し最終報告書を受領いたしました。調査の結果、弊社システムの一部の脆弱性をついたことによる不正アクセスを示す形跡が認められました。そのため、所轄警察署である中央警察署の指導に基づきクレジットカード会社等と協議を重ねた結果、同期間に弊社オンラインショップを利用されたお客様に注意を喚起しその利益を保護すべく、公表を実施することといたしました。



2. 漏えいの可能性があるカード状況
(1) 原因
 システムの一部の脆弱性をついたことによる第三者の不正アクセス。

(2) カード情報漏えいの可能性があると指摘を受けているお客様
 2020年1月9日から2020年5月29日までの期間に当該サイトにおいてクレジットカード決済をされた最大4,544件のお客様。
 ※Amazon Payなど、外部サービスを介しての決済手段によるご利用は本件には該当いたしません。

 クレジットカードの不正利用による被害等の発生状況から、フォレンジック調査結果を踏まえ、上記期間にクレジットカード決済をされたお客様をご連絡の対象としました。漏えいした可能性があると指摘を受けているクレジットカード情報は次の通りです。

       ・クレジットカード名義人名
       ・クレジットカード番号
       ・有効期限
     ・セキュリティコード

3. 公表が遅れた経緯について
 2020年5月28日当該サイトからカード情報が漏えいしている可能性がある旨指摘を受けた時点から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いが生じた時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるべきでしたが、不確定な情報の公開はいたずらに混乱を招くため、お客様へのご迷惑を最小限に食い止められる対応準備を整えた上での告知が不可欠であると判断し、発表はカード会社と協議を重ねその連携を整えてから行うことにいたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

4. お客様へのお願い
 既に弊社では、クレジットカード会社と連携し、漏えいした可能性があると指摘を受けているクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
 お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
 なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

5. 再発防止策について

 弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえて現行システムの改修、および監視体制の強化を行い、再発防止を図ってまいります。システム改修後の当該サイトでのクレジットカード決済の再開日につきましては、決定次第、改めて当該サイトにてお知らせいたします。今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会に2020年12月18日に報告済みであり、また、所轄警察である中央警察署にも2020年12月18日に報告済みです。

 

【本件に関するお問い合わせ窓口】

<お問い合わせ専用ダイヤル>
受付時間:10:00~17:00(土・日・祝日除く)

フリーダイヤル:0120-205-301
※受付日時は変更させて頂く場合がございます。

 

<お問い合わせ専用メールアドレス>
メールアドレス:info@safarilounge.jp

※お問い合わせいただいた内容を確認・検討のうえ回答いたしますので
お時間をいただく場合がございます。あらかじめご了承ください。

また今回の事象に関するご質問についてのご回答をご用意させて頂きました。
お電話が繋がらない場合など、下記FAQをご確認頂けますと幸いでございます。

FAQ

■被害の確認について
■クレジットカード再発行と補償について
■調査結果と今後について
■対象のお客様へのお願い


■被害の確認について
Q: 漏えいした可能性がある情報は何ですか?
A: 弊社は、システム上クレジットカード情報は一切保持しておりませんが、第三者によるプログラム改ざんにより、以下の情報を不正に取得された可能性があると指摘されております。
・「クレジットカード名義」
・「クレジットカード番号」
・「クレジットカード有効期限」
・「セキュリティコード」

Q: 情報漏えいの可能性がある対象期間はいつですか?
A:2020年1月9日から2020年5月29日までの期間、当該サイトにてクレジットカード情報を利用し商品を購入されたお客様の一部の方が対象です(この期間にご注文され、後にご注文をキャンセルされた場合も含みます)。クレジットカード情報が漏えいした可能性があると指摘を受けたお客様には、本公表日より順次電子メールにてご通知を差し上げております。

Q: 上記以外の期間に利用したのですが、漏洩の可能性はありますか?
A: 2020年1月9日から2020年5月29日以外の期間にご注文いただいた際のクレジットカード情報の漏えいの可能性は指摘されておりません。また、当該サイトはクレジットカード決済の受付を停止いたしました。以降の注文につきましては安全性が確保された決済手段でのご対応をさせて頂いておりますため、クレジットカード情報漏えいの可能性はございません。

Q: 不正利用されていないのかを確認できますか?
A: カード利用明細をご確認いただき、不審な請求があれば、ご利用されているクレジットカード会社へお問い合せをお願いいたします。既に弊社では、漏えいした可能性があると指摘されたクレジットカードによる取引の継続した確認をカード会社に依頼しておりますが、念のためご確認をお願い申し上げます。

Q: 身に覚えのない請求がありましたがどうすればよいですか?
A: 大変申し訳ございませんが、お客様のクレジットカード情報が漏えいしている可能性がございます。お手数をおかけしますが、当該サイトにて利用されたクレジットカードの発行会社へ、身に覚えのない請求があることを至急ご連絡頂けますようお願い申し上げます。※クレジットカード会社の連絡先はカードの裏面に記載されております。

Q: 期間中にクレジットカード決済を行ったが、その後キャンセルしました。漏えい対象になりますか?
A:クレジットカードをご入力され、ご注文確定後にキャンセルをされた場合も漏えいの可能性がございます。クレジットカード情報が漏えいした可能性があると指摘を受けたお客様には、本公表日より順次電子メールにてご通知を差し上げております。


Q: カード情報の漏えい可能性対象者なのですが、悪用のおそれはないでしょうか。
A: カード利用明細をご確認いただき、不審な請求があれば、ご利用されているクレジットカード会社へお問い合せをお願いいたします。既に弊社では、漏えいした可能性があると指摘を受けたクレジットカードによる取引のモニタリングをカード会社に依頼しておりますが、念のためご確認をお願い申し上げます。
※クレジットカード会社の連絡先はカードの裏面に記載されております。

■クレジットカード再発行と補償について
Q: クレジットカードを再発行したいです
A: クレジットカードの再発行をご希望される場合は、お客様から直接クレジットカードの裏面に記載のお問い合せ先にご連絡の上、お手続きいただきますようお願い申し上げます。なお、情報漏えいの可能性があると指摘を受けたクレジットカード再発行の手数料につきましては、お客様にご負担をおかけすることのないよう、弊社よりクレジットカード会社各社へ依頼しております。

Q: クレジットカード会社に何をどのように伝えればよいですか?
A: 弊社が運営する「Safari Lounge」で買い物をしたが、その際に利用したクレジットカード情報が漏えいした恐れがあると連絡が来た旨をお伝えください。

Q: クレジットカード会社の連絡先を教えてください。
A: ご利用されたクレジットカードの裏面をご確認いただきますようお願いいたします。

Q: クレジットカードの再発行をしたら安全ですか?
A: 漏えいした可能性があると指摘されている情報とは異なり新しい番号となりますので安全です。

Q: いつまでにクレジットカード会社に連絡すれば良いですか?
A: 出来るだけ早くご連絡ください。特に身に覚えのない請求があった場合は、不正利用が繰り返される可能性がありますので、早急にご連絡くださいますようお願い申し上げます。

Q: すでにクレジットカードを変更しました。費用は負担してもらえますか?
A: 情報漏えいの可能性があると指摘を受けたクレジットカード再発行の手数料につきましては、お客様にご負担をおかけすることのないよう、弊社よりクレジットカード会社各社へ依頼しております。お手数をおかけいたしますが、クレジットカード会社にお問い合わせをお願いいたします。

Q: 自分がどのクレジットカードを利用したか教えてください
A: 大変申し訳ございません。「Safari Lounge」ではクレジットカード情報を一切保有しておらず分かりかねますので、利用したと思われるクレジットカード会社にご連絡頂けますようお願い申し上げます。

Q: クレジットカード情報を抹消してください
A: 大変申し訳ございませんが、クレジットカード情報につきましては弊社では一切保持していないため、対応いたしかねます。
利用停止や再発行を含むご依頼につきましては、ご契約のクレジットカード会社さまに直接お問い合わせ頂けますようお願い申し上げます。

■調査結果と今後について
Q: 公表が遅れた理由は何ですか?
A: 大変申し訳ございませんでした。本来であれば疑いが生じた時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、カード会社等と協議する中で、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

Q: 何が原因で今回のことが起こったのですか?
A: 第三者調査機関(フォレンジック調査会社)により弊社システムの一部の脆弱性をつかれたことが原因と指摘されております。

Q: セキュリティ対策は整備されていたのか?
A: 第三者調査機関(フォレンジック調査会社)にて、弊社システムのペネトレーションテスト(侵入テスト)も行って頂きましたが、緊急、または重大な脆弱性を認める箇所はございませんでした。ただし、指摘事項がございました箇所につきましては即座にシステムを改修し、すでに完了しております。監視体制につきましても強化いたしました。また、安全性が確保されるまでトークン型クレジット決済サービスの再開はしないことを決定いたしました。

Q: 漏えいした可能性のある情報のなかに、住所などの個人情報は含まれていますか?
A: クレジットカード情報以外の個人情報の漏えいの可能性は確認されておりません。

Q: 当該サイトに登録した個人情報を抹消してください
A: 個人情報につきましては、お申し出頂きましたお客様がご本人であることを確認したうえで、合理的な期間および範囲で遅滞なく対応いたします。
下記専用メールアドレス宛に「個人情報の抹消依頼」表記の上、該当の会員番号、氏名をご記入の上、メールを送信ください。
専用メールアドレス(info@hinode.co.jp)

■対象のお客様へのお願い
Q: 結局、何をどのように対応したらよいですか?
A: 対象期間にクレジットカード情報を利用されたお客様に関しましては、クレジットカードのご利用履歴をご確認の上、身に覚えのないご利用履歴がないか、ご確認をお願いいたします。万が一、身に覚えのない不審なご利用履歴があった際は、クレジットカードの発行会社様へのご連絡をお願いいたします。弊社からクレジットカード会社への直接の対応などは個人情報保護の観点からも致しかねますため、お客様ご自身でのご確認ご連絡となります。お客様にはご迷惑とご不便、ご不安をおかけし大変申し訳ございません。

Q: そちらで全て対応して欲しいのですが?
A:お客様にはご迷惑とご不便をおかけし大変申し訳ございません。漏えいしたと指摘を受けているクレジットカード情報が悪用される二次被害を防ぐためにできる限りの対応をさせていただきたいと考えております。しかしながら、個人情報保護の観点から、弊社から直接クレジットカード会社に対して個別のお客様に関する対応を行うことができません。中央警察署へ対応の相談を行ったところ、可能性があると指摘を受けている全てのお客様に対して告知と対応方法の喚起をするよう指導を受けましたので、電子メールでのご案内を引き続き行ってまいります。クレジットカードのご利用履歴をご確認の上、身に覚えのないご利用履歴がないか、ご確認をお願いいたします。万が一、身に覚えのない不審なご利用履歴があった際は、クレジットカードの発行会社様へのご連絡をお願いいたします。お客様にはご迷惑とご不便をおかけし大変申し訳ございません。

Q: カード変更後に公共料金などの継続利用の手続きをそちらで対応して欲しいのですが?
A: 個人情報保護の観点から、弊社から直接クレジットカード会社に対して個別のお客様に関する対応を行うことができないようになっております。新しいカードがお手元に届きましたら、各ご利用先のお手続きをお願いいたします。
 なお、変更方法につきましても、お手数ですが各ご利用先へお問い合わせください。お客様にはご迷惑とご不便をおかけし大変申し訳ございません。

SHOPPING FILE 2021年 夏号 Vol.21

夏カタログ『SHOPPING FILE Vol.21』を無料で配布!