ベクトルは8月18日、ブランド古着のEC「ベクトルパーク」において、第三者による不正アクセスを受け、顧客のクレジットカード情報(1万8136件)が漏えいした可能性があることが分かったと発表した。同事案は、2021年12月7日に岡山県警から連絡を受け、社内での調査により不正プログラムを発見したもの。不正プログラムはすでに除去し、2021年12月29日には「ベクトルパーク」でのカード決済を停止している。このほど、第三者調査期間の調査結果が完了し、クレジットカード情報の漏洩と一部が不正利用された可能性があることが判明したとし、謝罪の意を表明するとともに詳細を報告した。
ベクトルの運営する「ベクトルパーク」は、ブランド古着のECサイト。2021年12月7日、所轄警察署の岡山県警サイバー対策課より「ベクトルパーク」から不正に情報が送信されている可能性があると連絡を受けたことから、社内で調査を実施。不正のプログラムを発見し、除去を行った。合わせてさらなるリスクを鑑みて、2021年12月29日に「ベクトルパーク」でのカード決済を完全に停止した。
その後開始した、第三者調査機関による調査が2022年6月28日に完了し、「ベクトルパーク」の顧客の個人情報が漏洩し、一部の顧客のクレジットカード情報が不正利用された可能性があることが判明。これらの事実が確認できたことから今回の発表に至ったとし、迷惑および心配をかけたことを謝罪した。
個人情報漏洩の原因は、「ベクトルパーク」のシステムの一部の脆弱性をついた第三者の不正アクセスによるペイメントアプリケーションの改ざんだった。個人情報漏えいの可能性がある顧客は、2020年4月27日~2021年12月22日の期間中に「ベクトルパーク」においてクレジットカード決済をした顧客1万8136名。漏洩した可能性のある情報は、クレジットカードの名義人名、カード番号、有効期限、セキュリティコードに加え、ログオンIDとパスワードとなる。なお、個人情報漏洩の可能性がある1万8136名の顧客には、別途電子メールにて個別の連絡を行っている。
ベクトルではすでに、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを実施しており、不正利用の防止に努めている。さらに顧客に向け、クレジットカードの利用明細に身に覚えのない請求項目がないか、今一度確認してほしいと呼びかけた。身に覚えのない請求項目の記載があった場合は、クレジットカードの裏面に記載のカード会社に問い合わせしてほしいとしている。なお、顧客がクレジットカードの差し替えを希望される場合のカード再発行手数料は、ベクトルよりクレジットカード会社に依頼するとしている。
2021年12月7日の漏えい懸念発覚から、今回の正式な公表に至るまでに時間を要したことについても詳細な経緯を発表した。漏えいの懸念発覚後、対象となる顧客に対しては2021年12月14日より順次、メールでの謝罪と連絡を実施。その時点では懸念段階だったことから、注意喚起とともに、クレジットカードへの覚えのない請求等がないかの確認を依頼していたという。
決済代行会社と協議を行ったところ、不確定な情報の公開はいたずらに混乱を招き、顧客への迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受けたことから、調査会社の調査結果、およびカード会社との連携を待ってからの正式発表に至ったとし、発表までに時間を要したことを謝罪した。
ベクトルは、このたびの事態を厳粛に受け止め、調査結果を踏まえたシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図っていく考えを示した。改修後の「ベクトルパーク」のクレジットカード決済再開日については、決定次第改めて報告するとしている。
今回の不正アクセスについては、監督官庁である個人情報保護委員会には 2022年7月11日に報告を行った。所轄警察署にも2021年12月8日に被害申告を行っており、今後捜査にも全面的に協力するとしている。
