西光亭ネットショップへの不正アクセスによるクレジットカード情報および
個人情報漏洩に関するご質問等
このたびの西光亭ネットショップにおける、クレジットカード情報および個人情報漏洩に関するご質問について、ご回答をご用意いたしました。お電話がつながりにくい場合などに、こちらのご質問集からご確認くださいますようお願い申し上げます。
クレジットカード情報漏洩について
Q.自分のクレジットカード情報が漏洩したのかどうかどうすればわかりますか。
以下の期間に西光亭ネットショップ(https://www.seikotei.jp)にてクレジットカードを利用して商品を購入されたお客様のクレジットカード情報が漏洩した可能性がございます。
期間:2021年3月10日~2021年6月16日
購入は完了していない場合も、クレジットカード情報を入力された場合は漏洩の可能性がございます。
上記に該当されるお客様には、ご購入の際のメールアドレス宛に、2021年11月17日付けにて「クレジットカード情報漏洩に関するお詫び(西光亭)」という件名のメールを送付いたしました。メールが届かなかったお客様にはご注文時の住所に封書にてご連絡いたしました。上記のメールもしくは封書が届きましたお客様のクレジットカード情報は漏洩した可能性がございます。
Q.「クレジットカード情報が漏洩した可能性」とはどういうことですか。
2021年3月10日に西光亭ネットショップに外部からの不正アクセスをされた形跡があり、クレジットカードを利用して購入されたお客様のクレジットカード情報が不正にサーバー上に保存される状態になっていました。その情報全てが、実際に漏洩したかどうかは判断できないため、「漏洩した可能性」としてご報告いたしました。
お手数ではありますが、安全のため、漏洩している前提での対応をお願いいたします。
Q.西光亭本店、新宿伊勢丹店、松屋銀座店のお店でクレジットカードを使ったのですが安全ですか?
このたびの不正アクセスは、西光亭ネットショップ(https://www.seikotei.jp)において発生しました。各店舗のクレジットカード端末とはシステムが異なりますのでご安心ください。
Q.2021年3月10日より前の注文は安全ですか?
はい。西光亭ネットショップでのクレジットカード情報漏洩はございません。
Q.クレジットカード情報漏洩の可能性がある期間中に注文しているか確認したい
クレジットカード情報漏洩の可能性がある期間中にクレジットカードを利用して注文されたすべてのお客様に、ご購入の際のメールアドレス宛に、2021年11月17日付けにて「クレジットカード情報漏洩に関するお詫び(西光亭)」という件名のメールを送付いたしておりますのでご確認ください。
メールアドレスの変更などによって、上記のメールが届いていない可能性のあるお客様は、早急に確認致しますので、(support@seikotei.jp)までメールにてお問い合わせください。
その際、西光亭ネットショップに会員登録されていたメールアドレスをお知らせください。
Q.注文の際に利用したカードを知りたい。
漏洩の可能性があるクレジットカード情報については、早急に確認致しますので、(support@seikotei.jp)までメールにてお問い合わせください。
その際、西光亭ネットショップに会員登録されていたお名前(フルネームを漢字でお願いします)と、メールアドレスもしくはお電話番号をお知らせください。
クレジットカード情報は、決済代行業者に直接送信される仕組みのため、クレジットカード番号の一部(下4桁)しかお調べできません。あらかじめご了承ください。
なおクレジットカード情報に係る部分は、ご本人様以外には回答いたしません。
会員登録されていたメールアドレスへのメールでの回答、もしくは登録されていた電話番号への連絡による回答に限らせていただきます。
Q.どうすればクレジットカードの再発行ができますか。
お手数をおかけしますが、クレジットカードの裏面に記載されているカード会社の連絡先にご連絡いただき、ご相談くださいますようお願いいたします。再発行の際の手数料につきましては、お客様のご負担にはならないようにカード会社に依頼しております。(カード会社は2022年2月28日まで再発行を受け付けております)
Q.クレジットカードの不正利用がなかったかどのように調べればよいですか。
クレジットカード会社の発行する利用明細をご確認ください。身に覚えのない請求がございましたら、クレジットカード裏面に記載されているクレジットカード会社の窓口にご連絡ください。
Q.身に覚えのない請求が届いています。どうすればよいですか。
お手数おかけ致しますが、身に覚えのない請求があることをクレジットカード裏面に記載されているクレジットカード会社の窓口にご連絡ください。
Q.補償はどうなっていますか。
漏洩したクレジットカードの再発行につきましては、お客様のご負担にはならないように当社よりクレジットカード会社に依頼しております。(カード会社は2022年2月28日まで再発行を受け付けております)
不正利用につきましてはクレジットカード会社にご相談くださいますようお願いします。
Q.パスワードも漏洩していますか。
「西光亭ネットショップ」における会員情報のパスワードは漏洩している可能性があります。当店にて設定されたパスワードと同じパスワードを使いまわされているサービスがございましたら、お手数ですがパスワードの変更をお願いします。
Q.カード情報漏洩した可能性のある人数は何人ですか。
クレジットカード情報としては3,079件です。
おひとりで複数のカードで決済されている方もいらっしゃるため、第三者機関で明確になったクレジットカード情報の件数で報告いたしました。
クレジットカード情報以外の個人情報の漏洩について
Q.自分の個人情報が漏洩したかどうかはどうすればわかりますか。
西光亭ネットショップ(https://www.seikotei.jp)にて購入されたことがある全てのお客様の個人情報が漏洩した可能性があります。
Q.「個人情報が漏洩した可能性」とはどういう意味ですか。
外部からの不正アクセスにより、データベースの任意の内容を参照できる状態になっていました。そのため、全ての個人情報が漏洩した可能性がありますが、不正アクセスの痕跡からは個々の個人情報が漏洩したかしていないかを断定することはできませんでした。
Q.クレジットカード情報も漏洩したのですか。
データベースにはクレジットカード情報は保持されない仕組みになっています。そのためデータベースからクレジットカード情報が漏洩する可能性はありません。
なお、クレジットカード情報が漏洩した可能性がある一部のお客様には、「クレジットカード情報漏洩に関するお詫び(西光亭)」という件名のメールでご連絡いたしております。
Q.クレジットカード情報の漏洩とクレジットカード情報以外の個人情報は別の原因ですか。
同時期の不正アクセスですが、2つの異なる手口によって2つの問題が発生しました。
クレジットカード情報の漏洩はお客様が入力した内容をサーバーに一度保持してしばらく後に回収する手口であり、その他の個人情報の漏洩はデータベースに侵入して任意の内容を参照する手口でした。
そのため、クレジットカード情報の漏洩の可能性のあるお客様は購入された時期によって限定されます。データベースから個人情報の漏洩の可能性のあるお客様は過去の全てのお客様となります。
Q.西光亭ネットショップに登録しているパスワードが漏洩していますか。
暗号化されたパスワードは漏洩している可能性があります。
暗号化されたパスワードを直接解読することは不可能です。ですが、攻撃者がパスワードを推測して暗号化して、データベースの中身と照合すれば、推測が正しいかどうかが判明します。そのため、容易に推測できるパスワードや短いパスワードの場合はパスワードが特定される可能性があります。
当店にて設定されたパスワードと同じパスワードを使いまわされているサービスがございましたら、お手数ですがパスワードの変更をお願いします。
Q.個人情報が漏洩することによりどのようなリスクがありますか。
当店の名前をかたり、メールを送り付けたりする可能性があります。当店の名前をかたるフィッシングサイトなどにご注意ください。当店からは、クレジットカード番号入力などを依頼するようなメールは配信いたしません。
パスワードが特定できた場合、同じパスワードを使っているサービスを悪用される可能性があります。当店にて設定されたパスワードと同じパスワードを使いまわされているサービスがございましたら、お手数ですがパスワードの変更をお願いします。
当社の対応について
Q.なぜ情報漏洩が発生しましたか。
利用しているソフトウェアに脆弱性(セキュリティ上の不具合)がありました。脆弱性を突いた攻撃を受け、外部から不正アクセスされました。
不正アクセスによりクレジットカード決済部分のプログラムの漏洩が発生する状態への改ざんと、データベース内の任意の内容を参照できる状態への改ざんが行われました。
Q.脆弱性対応を修正しなかったのですか。
ソフトウェアの提供業者が配布している全ての修正版のソフトウェアを適用していましたが、当事件は脆弱性の修正プログラムが配布される前に発生しました。
2021年3月10日に不正アクセスされ、2021年6月16日に発覚してネットショップを閉鎖しましたが、脆弱性の修正プログラムが配布されたのは2021年6月28日でした。
Q.不正アクセスに対する対策を取っていましたか。
業者に委託し、ソフトウェアを最新に保つこと、サーバーを適切に管理することは実施しておりました。また、決済代行会社の指導により、クレジットカード情報を社内に保持しない仕組みを導入するなど対策を実施しておりました。
しかし、WAFなどのセキュリティ製品の導入はしておりませんでした。セキュリティ製品によって不正アクセスを防止できた可能性はありました。
Q.第三者調査機関の調査とは何ですか。
クレジットカード会社によって認定された、セキュリティ調査会社によるサーバーの調査です。情報漏洩の発生した原因と漏洩した範囲を調査します。
Q.なぜネットショップを閉鎖したのですか。
不正アクセスによる改ざんの影響で被害が拡大する可能性を考慮し、サーバーをインターネットから隔離いたしました。そのためショップを閉鎖いたしました。
Q.なぜ公表までに時間がかかったのですか。
不正確な情報での公表はお客様にご迷惑をおかけする結果になります。そのため第三者調査機関の調査が完了し、お問い合せ窓口の設置などを準備の上で公表させていただくことになりました。
なお、クレジットカード会社への連絡、個人情報保護委員会への報告などは実施いたしており、被害拡大を防止するための措置は速やかに行っております。
Q.今後、新しい情報はどのように連絡されますか。
お客様から相談窓口にお寄せいただいたご質問への回答は、当ページ(ご質問等)に追記いたします。
第三者機関による調査は終了しております。当件に関して追加の調査情報の発表予定はありません。
Q.どこの警察署に届け出ていますか。
警視庁・代々木警察署に届け出ております。
topページへ戻る