「カラーミーショップ」における情報流出に関するご報告とお詫び

このたび、GMOペパボ株式会社（以下、「弊社」）が運営するネットショップ運営サービス「カラーミーショップ」（以下、「本サービス」）において、第三者による不正アクセスが確認され、本サービスを利用してネットショップを運営いただいている一部のお客様（以下、「ショップオーナー様」）の情報の流出と、一部のショップオーナー様および本サービスを利用しているネットショップで購入された一部の方（以下、「購入者様」）のクレジットカード情報の流出、またはその可能性があること（以下、「本件」）が判明いたしました。

ショップオーナー様、購入者様および関係者の皆様に多大なるご心配とご迷惑をお掛けいたしますこと、心より深くお詫び申し上げます。

また、現在のところ、本件による流出、またはその可能性がある情報の不正利用等といった二次被害の報告は受けておりませんが、引き続き、不正利用等の監視に努めてまいります。

記

１．不正アクセスの概要と経緯

2018年1月7日、本サービスにおいて独自アプリケーションの機能を悪用した不正アクセスが発生し、本サービスの情報が閲覧され、ショップオーナー様および購入者様の情報が流出した可能性があることが判明いたしました。その後、直ちに侵入経路を遮断し、不正なプログラムが実行されないよう、悪用されたアプリケーションの機能を停止いたしました。

あわせて、被害状況の把握と二次被害防止対策を検討するため社内調査を継続、翌1月8日には外部のセキュリティ専門機関にも調査を依頼し、調査を進めたところ、1月10日、閲覧された可能性のある情報の中に、一部のショップオーナー様および購入者様のクレジットカード情報が含まれていたことが判明いたしました。これを受けて、クレジットカード各社へ当該クレジットカード情報を報告し、不正利用監視の体制強化を依頼するとともに、本件に関して、警視庁渋谷警察署に相談および、セキュリティ専門機関2社によるフォレンジック調査を開始しました。

1月25日、セキュリティ専門機関によるフォレンジック調査結果を受領したことを受けて、被害状況が判明いたしましたので、以下の通り詳細をご報告いたします。

２．本件に関するクレジットカード情報と件数

（１）流出したショップオーナー様のクレジットカード情報：22件

内訳	件数
カード番号のみ ※1	22件

（※1）「電話番号」、「ブラウザ情報」、「読み仮名」欄に記載されたカード番号の可能性のある14～16桁の数値です。

（２）流出した可能性のあるショップオーナー様のクレジットカード情報：最大 9,430件

対象：2017年3月16日～2018年1月7日に本サービス利用料金をクレジットカードにてお支払いいただいたショップオーナー様 ※2

内訳	件数
カード番号・カード有効期限・カード名義人名・セキュリティコード	最大 7,259件
カード番号・カード有効期限・カード名義人名	最大 337件
カード番号・カード有効期限	最大 1,834件

（※2）2017年3月15日以前に本サービス利用料金をクレジットカードにてお支払いいただいたショップオーナー様の情報流出はございません。

（３）流出した可能性のある購入者様のクレジットカード情報：最大 2,711件

対象：一部のネットショップをご利用になった購入者様

内訳	件数
カード番号・カード有効期限・カード名義人名・セキュリティコード	最大 4件
カード番号・カード有効期限・カード名義人名	最大 1,902件
カード番号・カード有効期限・セキュリティコード	最大 481件
カード番号・カード有効期限	最大 141件
カード番号	最大 183件

なお、弊社は、上記（１）～（３）のクレジットカード情報を除き、他のクレジットカード情報を一切保持しておらず、情報流出はございません。

３．本件に関するクレジットカード情報以外の情報と件数

流出したショップオーナー様のクレジットカード情報以外の情報：最大 77,385件

対象：本サービスをご利用中・ご利用いただいたことのあるショップオーナー様

内訳	件数
ログインID・ハッシュ化済パスワード ※3・住所・氏名（個人・法人名）・電話番号・生年月日・メールアドレス・その他特定商取引法に基づく表記など	最大 77,385件

（※3）規則性のない固定長の値を求め、その値によって元のデータを置き換えることで、元のパスワードを読み取れなくする、パスワードの安全な保管でよく用いられる方法です。

４．本件への対応

（１）ショップオーナー様のパスワードリセット

1月22日までに全てのショップオーナー様のパスワードリセットが完了いたしました。

（２）ショップオーナー様への個別のご連絡

本件についてのお詫びとご連絡を、本日、以下の方法にて行っております。

・電子メールの送付

・本サービスの管理画面における本件に関する情報と対応の表示

（３）クレジットカード情報が流出した可能性のある購入者様へのご連絡

対象となるショップオーナー様から本件に関する詳細についてご連絡がありますのでご確認をお願いいたします。

（４）お問い合わせ窓口の設置

本件に関するお問い合わせにつきましては、以下のお問い合わせ窓口にご連絡をお願いいたします。

＜お問い合わせ窓口＞

専用ダイヤル	0120-620-621（フリーダイヤル）
メールアドレス	help@shop-pro.jp
受付時間	午前9時～午後9時（土日祝日を含む）

５．対応の経緯と内容

日時	内容
2018年1月7日（日） 20：04	サーバー異常検知システムによりアラートを検知し、調査を実施したところ、外部から設置された不正プログラム（以下、不正プログラム）が実行された可能性を検知
2018年1月7日（日） 22：28	不正プログラムが実行されないように改修
2018年1月7日（日） 23：09	代表取締役社長佐藤健太郎を本部長とした緊急対策本部を設置
2018年1月8日（月） 1：33	不正プログラムを経由して、本サービスの情報の一部が閲覧された可能性があることを検知
2018年1月8日（月） 13：39	外部のセキュリティ専門機関へ報告し、本件に関する情報調査および今後の対応について相談を開始
2018年1月8日（月） 17：37	外部の危機管理専門家へ連絡し、相談を開始
2018年1月8日（月） 22：16	セキュリティ診断アプリケーションにてセキュリティチェックを実施
2018年1月9日（火） 15：00	セキュリティ対策ソフトウェアを設置した上で社内にてセキュリティチェックを実施
2018年1月9日（火） 16：12	不正プログラムを経由して閲覧された可能性のある情報の中にクレジットカード情報が含まれている可能性を検知
2018年1月9日（火） 18：50	関係省庁への報告
2018年1月10日（水） 13：34	不正プログラムを経由して閲覧された可能性のある情報の中にクレジットカード情報が含まれていたため、クレジットカード各社へ連絡し、不正利用監視（モニタリング）体制の強化を依頼
2018年1月10日（水） 15：35	被害状況および影響範囲を特定するため外部のセキュリティ専門機関によるセキュリティ診断および、同セキュリティ専門機関と、クレジットカード情報のセキュリティ専門機関の2社によるフォレンジック調査を開始
2018年1月11日（木） 14：00	本サービス利用料金の支払いにおける、クレジットカード払いの新規申込を停止
2018年1月22日（月） 12：37	全ショップオーナー様のパスワードリセット完了
2018年1月25日（木） 9：26	外部のセキュリティ専門機関によるフォレンジック調査の結果を受領
2018年1月25日（木） 11：58	クレジットカード情報のセキュリティ専門機関によるフォレンジック調査の結果を受領
2018年1月26日（金） 7：40	本件に係る再発防止委員会を設置

６．再発防止に向けた対応

本日、2018年1月26日開催の弊社臨時取締役会にて、より一層の高度な対策を実施するため、代表取締役社長佐藤健太郎を委員長とし、外部の専門家アドバイザーを含めた「再発防止委員会」を設置いたしました。詳細につきましては、本日発表の『「再発防止委員会」設置のお知らせ』をご参照ください。弊社では、このたびの事態を厳粛に受け止め、全サービスのセキュリティ強化と再発防止に取り組むとともに、調査結果を踏まえ、再発防止委員会を中心に対策を講じ、信頼の回復に努めてまいります。

改めまして、ショップオーナー様、購入者様および関係者の皆様に多大なるご心配とご迷惑をお掛けいたしますこと、心より深くお詫び申し上げます。

【報道関係お問い合わせ先】

●GMOペパボ株式会社広報担当