TOP > ニュース一覧 > 不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ




2021年12月20日
  お客様各位
株式会社コーカス

弊社が運営する「SuiSavon-首里石鹸-オンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ


  このたび、弊社が運営する「SuiSavon-首里石鹸-オンラインショップ」(以下「本サイト」といいます。)におきまして、第三者による不正アクセスを受け、2020年12月24日から2021年3月11日までの期間にお客様のクレジットカード情報(最大1,287件)と、会員様ログイン用メールアドレス・パスワード・生年月日の情報(最大13,037件)が漏えいした可能性があることが第三者調査機関(フォレンジック調査会社)の調査にて判明いたしました。
 お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
 なお、漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
 弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
 お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。



1. 経緯
2021年4月21日、弊社が委託しております決済代行会社より、本サイトに関連して、お客様の個人情報及びクレジットカード情報が漏えいしている可能性があると指摘を受け、情報漏えいの事実確認のため、2021年5月17日に第三者調査機関に対してフォレンジック調査を依頼し、調査を開始いたしました。同時に、本サイト内のクレジットカード決済システムを停止いたしました。
 2021年10月13日、第三者調査機関による調査が完了し最終報告説明を受けました。調査の結果、弊社システムに対して不正アクセスを示す形跡が認められました。
 以上の事実が確認できたため、本日の発表に至りました。

2. 個人情報漏えい状況

(1) 原因
 弊社が運営する「SuiSavon-首里石鹸-オンラインショップ」のシステムに対し第三者が不正にアクセスしたことにより、ペイメントアプリケーションが改ざんされたため。

(2) クレジットカード情報の漏えいの可能性があるお客様
 2020年12月24日から2021年3月11日までの期間に当該サイトにおいてクレジットカード情報を入力された最大1,217名のお客様。
漏えいした可能性があると指摘を受けている情報は次の通りです。

 ・クレジットカード名義人名
 ・クレジットカード番号
 ・セキュリティコード
 ・有効期限

 ※上記に該当する1,217名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

(3) 会員様ログイン用メールアドレス・パスワード・生年月日の情報漏えいの可能性があるお客様
 2020年12月24日から2021年3月11日までの期間にスマートフォンを利用して本サイトにログインされた最大13,037名のお客様。
 なお、会員様ログイン用メールアドレス・パスワードに紐づくお客様の氏名、住所、電話番号等の個人情報の漏えいは確認されておりません。
 また、本サイトへのログインパスワードに関しては、2021年5月20日に、ご登録いただいていた全てのパスワードを無効化し、パスワードの変更のお手続きを行っていただいております。

 ※上記に該当する13,037名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

3. お客様へのお願い
(1) クレジットカード不正利用ご確認のお願いについて
 既に弊社では、クレジットカード会社と連携し、漏えいした可能性があると指摘を受けているクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
 お客様におかれましても、誠に恐縮ではございますが、2020年12月24日以降のクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
 なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。お客様ご負担での差し替えをご案内された場合、お手数ではございますが、弊社専用窓口へご連絡ください。

(2) 本サイトにおけるログインID・パスワードの変更について
 本サイトへのログインパスワードに関しては、2021年5月20日に、ご登録いただいていた全てのパスワードを無効化し、パスワードの変更のお手続きを行っていただいておりますが、従来と同様のパスワードを継続して利用されているお客様に関しましては、新たなパスワードを設定していただきますようお願い申し上げます。

(3)他のサイトにおけるログインID・パスワード変更のお願いについて
 他のサイトでログインIDとして同じメールアドレス及びパスワードを使用されている場合は、大変お手数ではございますが、ご変更のお手続きをいただきますようお願い申し上げます。

4. 公表が遅れた経緯について
 2021年4月21日、弊社が委託しております決済代行会社より、本サイトからお客様の個人情報及びクレジットカード情報が漏えいしている可能性がある旨指摘を受けた時点から今回のお知らせに至るまで、時間を要しましたことを深くお詫び申し上げます。カード情報の漏えいの疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げることも検討いたしましたが、情報漏えい対策において多数の経験を有する決済代行会社より、漏えいの有無、その範囲、原因などが確定していない状況において不確定な情報の公開はいたずらに混乱を招き、お客様へ更なるご迷惑をお掛けしてしまうおそれがあるため、お客様へのご迷惑を最小限に抑える準備を整えてから告知するべきとの指摘を受け、公表については、第三者調査機関からの調査結果に基づき漏えいした情報の範囲とその原因を特定するとともに、カード会社との間で連携を行った上で実施することにいたしました。今回の発表までにお時間を要しましたこと、重ねてお詫び申し上げます。

5. 再発防止策について
 弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
システム改修後の本サイトでのクレジットカード決済の再開日につきましては、決定次第、改めて本サイトにてお知らせいたします。
 今回の不正アクセスにつきましては、一般財団法人日本情報経済社会推進協会に2021年10月29日に報告済であり、一般財団法人日本情報経済社会推進協会を通して個人情報保護委員会にも報告済でございます。また、所轄警察である那覇警察署にも2021年10月29日に報告済です。

6.本件に関するお問い合わせ窓口
<SuiSavon-首里石鹸-カスタマーサポート 個人情報に関する専用窓口 >
受付時間 10:30〜17:00(土日祝、12/29〜1/3除く)
フリーダイヤル 0120-777-858
メールアドレス:mail@suisavon.jp
※12/29〜1/3の間にいただいたメールに関しましては、1/4以降順次対応とさせていただきます。




不正アクセスによる個人情報漏えいに関するFAQ



■漏えいした情報について

Q: 漏えいした可能性がある情報は何ですか?
A:
(1)クレジットカード情報漏えいの可能性
2020年12月24日〜2021年3月11日の期間中に、SuiSavon-首里石鹸-オンラインショップにおいて、クレジットカード情報を入力の上、決済されたお客様(2020年12月23日以前のご注文時に登録いただいたクレジットカード情報を、上記期間中に呼び出して決済されたお客様は含まれません。)の以下の情報が不正に取得された可能性がございます。

・クレジットカード名義人
・クレジットカード番号
・有効期限
・セキュリティコード

クレジットカード情報を入力後、注文完了まで進まずに離脱された場合や、注文完了後にキャンセルをされた場合も含まれます。

(2)ログイン情報漏えいの可能性
2020年12月24日〜2021年3月11日の期間中に、SuiSavon-首里石鹸-オンラインショップにスマートフォン、携帯電話でログインされたお客様の以下の情報が不正に取得された可能性がございます。

・ログイン用メールアドレス
・パスワード
・生年月日

なお、会員様のログイン用メールアドレス・パスワードに紐づくお客様の氏名、住所、電話番号等の個人情報の漏えいは確認されていません。

Q: 情報漏えいの可能性がある対象者は誰ですか?
A:
・クレジットカード情報の漏えいについて
2020年12月24日から2021年3月11日までの期間、SuiSavon-首里石鹸-オンラインショップにてクレジットカード情報を新たに入力されて商品を購入されたお客様が対象となります。

・ログイン情報の漏えいについて
2020年12月24日から2021年3月11日までの期間、スマートフォン、携帯電話でSuiSavon-首里石鹸-オンラインショップにログインしたお客様が対象となります。

なお、情報漏えいの可能性があるお客様につきましては、弊社より、本公表日より順次電子メールにてご連絡させていただいております。

Q: 上記以外の期間に利用したのですが、情報漏えいの可能性はありますか?
A: 調査の結果、2020年12月24日〜2021年3月11日以外の期間にSuiSavon-首里石鹸-オンラインショップをご利用いただいたお客様につきましては、情報漏えいの可能性は確認されておりません。

Q: クレジットカードが不正利用されていないのかを確認できますか?
A: クレジットカード利用明細をご確認いただき、もし身に覚えのない不審な請求がございましたら、お手数おかけしてしまい大変恐縮でございますが、ご利用されているクレジットカード会社へお問い合せをお願いいたします。既に弊社では、情報漏えいした可能性があると指摘されたクレジットカード会社と連携を行い、不審な取引の確認を依頼しておりますが、念のためご確認をお願い申し上げます。

※クレジットカード会社へのご連絡につきましては、クレジットカードの裏面に記載されている連絡先をご利用ください。
Q: 身に覚えのない請求がありましたがどうすればよいですか?
A: 大変申し訳ございませんが、お客様のクレジットカード情報が漏えいしている可能性がございます。お手数をおかけしてしまい誠に恐れ入りますが、利用されたクレジットカード会社へ、身に覚えのない請求があることを至急ご連絡いただき、クレジットカードの利用停止と再発行のお手続きを行っていただきますよう、お願い申し上げます。
 なお、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
※クレジットカード会社へのご連絡につきましては、クレジットカードの裏面に記載されている連絡先をご利用ください。

Q: 対象期間中にクレジットカード番号を入力しましたが、注文を完了せずにページを閉じました。漏えい対象になりますか?
A: 誠に申し訳ございませんが、クレジットカード番号を入力後、注文完了まで進まずにページを閉じた場合も情報漏えいの可能性がございます。
クレジットカード情報が漏えいした可能性があるお客様には、本公表日より順次、電子メールにてご連絡を差し上げておりますのでご確認いただければ幸いです。

Q: 対象期間中にクレジットカード番号を入力して注文を完了しましたが、その後キャンセルしました。漏えい対象になりますか?
A: 誠に申し訳ございませんが、ご注文が完了した時点で、クレジットカード情報が漏えいした可能性がございます。
クレジットカード情報が漏えいした可能性があるお客様には、本公表日より順次、電子メールにてご連絡を差し上げておりますのでご確認いただければ幸いです。


Q: 店舗での購入のみでオンラインショップで購入した覚えがないのですが対象になりますか?
A: SuiSavon-首里石鹸-では、お客様に店舗でもオンラインショップでも共通してポイントをご利用いただけるように、オンラインショップと店舗を統合した会員システムを導入しております。そのため、店舗で新規会員登録をしていただく際のご登録画面は、オンラインショップの会員登録と同様のものとなります。新規会員登録時には、メールアドレス・パスワードの設定を行う必要があり、新規会員登録時期が該当期間に当てはまる場合は、「メールアドレス・パスワード・生年月日」の情報漏えいの可能性がございます。


Q: 「AmazonIDでログイン」でログインしましたが情報流出していますか?
A: AmazonIDでログインされている場合、情報流出をしている可能性は低い状況です。システム上、「AmazonIDでログイン」した場合、通常の方法でログインした場合の確認をすることができないため、該当期間中にログインされた対象の方にはメールでご連絡をさせていただいております。ご心配をおかけしており大変申し訳ございません。


■クレジットカード再発行と補償について

Q: クレジットカードを再発行したいですがどうすればよいですか?
A: クレジットカードの再発行をご希望される場合は、お手数おかけしてしまい大変恐縮でございますが、クレジットカードの裏面に記載されているクレジットカード会社のお問い合せ先にお客様からご連絡いただき、お手続きいただきますようお願い申し上げます。なお、再発行にかかる費用につきましては、お客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

Q: クレジットカード会社に何をどのように伝えればよいですか?
A: クレジットカード会社に対しては、「株式会社コーカスが運営する『SuiSavon-首里石鹸-オンラインショップ』で買い物をしたが、その際に利用したクレジットカード情報が漏えいした恐れがあると連絡が来た。」とお伝えいただければ幸いです。

Q: クレジットカード会社の連絡先を教えてください。
A: クレジットカードの裏面に記載されている連絡先をご利用いただきますようお願いいたします。

Q: クレジットカードの再発行を行えば安全になりますか?
A: クレジットカードの再発行を行うことで、情報漏えいした可能性のあるクレジットカード情報が利用できなくなりますので、安全になります。

Q: クレジットカードは再発行しなくてはならないですか?
A: まずはご利用されているクレジットカード会社にご連絡いただき、ご相談いただければと存じます。
その上で、再発行するかどうかをご判断いただければと存じますが、弊社としては、クレジットカードの再発行を推奨いたします。
なお、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

Q: いつまでにクレジットカード会社に連絡すればよいですか?
A: お手数をおかけしてしまい大変恐縮ですが、現時点においても漏えいしたクレジットカード情報を利用した不正利用の可能性がございますので、出来るだけ早くご連絡いただきますようお願い申し上げます。

Q: 既にクレジットカードを再発行しました。費用は負担してもらえますか?
A: 情報漏えいの可能性があるクレジットカードの再発行にかかる費用につきましては、お客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。そのため、既に費用をご負担いただきクレジットカードを再発行されたお客様につきましては、お手数おかけしてしまい大変恐縮ですが、当社のお問合せ窓口までご連絡ください。

Q: 自分がどのクレジットカードを利用したか教えてください
A: 大変申し訳ございません。「SuiSavon-首里石鹸-オンラインショップ」ではクレジットカード情報を一切保有していないため、お客様がどのクレジットカードをご利用されたのか分かりかねますので、利用したと思われるクレジットカード会社にご連絡頂けますようお願い申し上げます。
※クレジットカード会社へのご連絡につきましては、クレジットカードの裏面に記載されている連絡先をご利用ください。

Q: 近々クレジットカードを使う予定があるのですが、どうしたらよいですか?
A: ご利用されているクレジットカード会社により対応が異なると存じます。まずはお手元のクレジットカードの裏面に記載されているクレジットカード会社の連絡先へご連絡いただき、ご相談くださいますようお願い申し上げます。

Q: 不正利用された場合、弁償してくれるのですか?
A: このたびのクレジットカード情報の漏えいが原因で不正利用されたものとクレジットカード会社が認定した案件につきましては、お客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
お手数をおかけしてしまい誠に恐れ入りますが、不審な請求がございましたら、クレジットカード裏面に記載のクレジットカード会社の連絡先へご連絡いただきますようお願い申し上げます。

Q: クレジットカード情報を抹消してください。
A: 大変恐縮ですが、弊社では、お客様のクレジットカード情報を一切保有しておりませんので、抹消すべき情報がございません。クレジットカード自体の抹消、利用停止、再発行などのご希望につきましては、お手数おかけしてしまい誠に恐れ入りますが、ご契約のクレジットカード会社に直接お問合せいただけますようお願い申し上げます。
※クレジットカード会社へのご連絡につきましては、クレジットカードの裏面に記載されている連絡先をご利用ください。


ログイン用メールアドレス・パスワード・生年月日漏えいについて

Q: 他のサイトでも同じメールアドレス・パスワードを使っているのですが安全ですか?
A: 大変お手数ではございますが、悪用の恐れがあるため、他のサイトのログインIDとパスワードも変更していただければ幸いです。
ご迷惑、ご心配をお掛けしてしまい、大変申し訳ございません。

Q: 使用していたパスワードを確認したいので教えてもらえますか?
A: 弊社ではお客様が入力されたパスワードを暗号化して保管しているため、お客様のパスワードを確認いたしかねます。ご要望にお応えできず大変申し訳ございません。
なお、SuiSavon-首里石鹸-オンラインショップへのログインパスワードに関しては、2021年5月20日に、ご登録いただいていた全てのパスワードは無効化し、パスワードの変更のお手続きを行っていただいております。


■調査結果と今後について

Q: 公表が遅れた理由は何ですか?
A: 本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにまずはお詫び申し上げたい思いでしたが、決済代行会社およびカード会社等と協議する中で、調査会社による「情報漏えいの有無」「原因」「影響範囲」が特定される前の不確定な情報の公開はいたずらに混乱を招いてしまう為、お客様へのご迷惑を最小限に食い止める為の対応準備を整えてからの告知が重要であるとの指摘を受け、最終調査結果の確定およびカード会社との連携を待ってから行うこととなりました。
今回の公表までお時間を要しましたこと、重ねてお詫び申し上げます。

Q: 何が原因で今回のことが起こったのですか?
A: 弊社システムに対し第三者が不正にアクセスしたことにより、ペイメントアプリケーションが改ざんされたことが原因となります。

Q: セキュリティ対策は実施されていたのか?
A: セキュリティ事故の原因究明を専門とする第三者調査機関にて、弊社のサイバーリスクアセスメント、プラットホーム脆弱性診断を実施していただきました。その結果、緊急または重大な脆弱性を認める箇所はございませんでした。ただし、指摘事項がございました箇所につきましては、直ちに整備し修正しております。また、監視体制につきましてもより強化いたしました。

Q: 漏えいした可能性のある情報のなかに、住所などの個人情報は含まれていますか?
A: 以下の事項の情報以外の漏えいの可能性は確認されておりません。

・クレジットカード名義人
・クレジットカード番号
・有効期限
・セキュリティコード
・メールアドレス
・ログインパスワード
・生年月日

Q: 会員登録を解除したいのですが?
A: 首里石鹸HPのTOPページからマイページをクリックすると「登録内容の変更・解除」の表示がございます。そこから「解除」ボタンを押していただきますと、登録解除となります。
登録解除を行った場合、保有しているポイントはすべて消滅いたします。SuiSavon-首里石鹸-では、オンラインショップと店舗を統合した会員システムを導入しておりますので、会員登録解除を行いますと、オンランショップのみでなく店舗でのポイント使用もできなくなることはご了承いただきますようお願い申し上げます。


Q: SuiSavon-首里石鹸-オンラインショップに登録した個人情報を抹消してもらえませんか?
A: 個人情報につきましては、お申し出頂きましたお客様がご本人であることを確認したうえで、対応させていただきます。メールの件名に「個人情報の抹消依頼」と表記いただき、お客様の会員番号、氏名および抹消対象の個人情報(全ての個人情報の削除をご希望の場合はその旨記載してください。)をメール本文にご記入の上、以下のメールアドレス宛にメールを送信ください。

メールアドレス:mail@suisavon.jp


■お客様による今後のご対応方法について

Q: 結局、何をどのように対応したらよいですか?

(1)クレジットカード情報漏えいの可能性があるお客様
2020年12月24日から2021年3月11日までの間に、SuiSavon-首里石鹸-オンラインショップにおいてクレジットカード情報を新たに入力の上、決済されたお客様(2020年12月23日以前のご注文時に登録いただいたクレジットカード情報を、上記期間中に呼び出して決済されたお客様は含まれません。)に関しましては、クレジットカードのご利用履歴において身に覚えのないご利用履歴がないか、ご確認をお願いいたします。万が一、身に覚えのない不審なご利用履歴があった際は、大変お手数をお掛けいたしますが、クレジットカード裏面に記載のクレジットカード会社への連絡先にご連絡をお願い申し上げます。
なお、お客様がクレジットカードの再発行をご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
お客様の代わりに、弊社からクレジットカード会社に対して、情報漏えいについて個別の対応などを依頼することは、個人情報保護の観点から致しかねますため、お客様ご自身でのご確認・ご連絡をお願い申し上げます。お手数おかけしてしまい大変恐縮ですが、何卒ご理解賜りますよう、お願いいたします。

(2)ログイン情報漏えいの可能性があるお客様
2020年12月24日〜2021年3月11日の期間中に、SuiSavon-首里石鹸-オンラインショップにスマートフォン、携帯電話でログインされたお客様に関しましては、今回漏えいした可能性のあるログイン用メールアドレスとパスワードを、他のサイトでも使用している場合、大変お手数ではございますが、悪用の恐れがあるため、他のサイトのログインIDとパスワードも変更していただければ幸いです。
ご迷惑、ご心配をお掛けしてしまい、大変申し訳ございません。

Q: 貴社において全て対応していただけないのでしょうか?
A:お客様にはご迷惑とご不便をおかけしてしまい大変申し訳ございません。漏えいした可能性のあるクレジットカード情報およびログイン情報が悪用されるリスクを防ぐため、できる限りの対応をさせていただきたいと考えております。しかし、個人情報保護の観点から、弊社から直接クレジットカード会社に対して、お客様がご利用の他のサイトに対して個別のお客様に関する対応を行うことができません。
そのため、誠に恐れ入りますが、クレジットカードのご利用履歴において身に覚えのないご利用履歴がないか、お客様にてご確認をお願いいたします。万が一、身に覚えのない不審なご利用履歴があった際は、大変お手数をお掛けいたしますが、クレジットカード裏面に記載のクレジットカードの発行会社へのご連絡をお願いいたします。
また、他のサイトで同じログインID・パスワードをご使用されている場合は、ご変更のお手続きを頂きますよう、重ねてお願い申し上げます。
お客様にはご迷惑とご不便をおかけしてしまい大変申し訳ございません。

Q: クレジットカード変更後に公共料金などの継続利用の手続きを貴社にて対応していただけないのでしょうか?
A: お客様にはご迷惑とご不便をおかけし大変申し訳ございません。 個人情報保護の観点から、弊社から直接クレジットカード会社に対して個別のお客様に関する対応を行うことができないようになっております。そのためお手数をおかけしてしまい大変恐縮ですが、新しいカードがお手元に届きましたら、各ご利用先に連絡いただき、お客様にてお手続きをお願い申し上げます。
 なお、変更方法につきましても、お手数ですが各ご利用先へお問い合わせいただきますよう、何卒よろしくお願い申し上げます。

Q: 迷惑メールが増えているのですが?
A: ご迷惑をおかけしており大変申し訳ございません。不審なメールを受信した場合「メールを開かない」「添付ファイルを開かない」「メール内URLをクリックしない」などの方法により、迷惑メール、フィッシングメールなどに十分ご注意ください。
また、弊社は、個人情報漏えいの可能性があるお客様に対しまして、本件の確認を理由に、個人情報(カード番号、カード名義、カード有効期限、住所、生年月日、勤務先、ログインパスワード、本人確認の質問・回答、購入履歴)等をお伺いすることはございません。そのようなメールは、弊社からの連絡を装ったなりすましメール等の可能性があるため、くれぐれも個人情報を提供されないようご注意ください。

なお、迷惑メール、クレジットカード会社などを装ったフィッシングメールの対策には、お使いのメールソフトや契約プロバイダーによって、さまざまな方法が考えられます。
以下のサイトにて事例や具体的な対策方法をご参照いただけます。

・フィッシング対策協議会
・迷惑メール相談センター

FAQは以上となります。
ご質問や、ご確認等につきましては、下記窓口までお問い合わせくださいますようお願い申し上げます。

本件に関するお問合せ窓口
<SuiSavon-首里石鹸-カスタマーサポート 個人情報に関する専用窓口 >
受付時間:10:30〜17:00(土日祝、12/29〜1/3除く)
フリーダイヤル 0120-777-858
メールアドレス:mail@suisavon.jp


※12/29〜1/3の間にいただいたメールに関しましては、1/4以降順次対応とさせていただきます。