カード情報1.2万件流出か、全漁連の通販サイト閉鎖 XSS脆弱性からペイメントアプリ改ざん

閉鎖の告知

　JF全漁連の通販サイト「JFおさかなマルシェ ギョギョいち 本店」が不正アクセスを受け、クレジットカード情報やセキュリティコードなどが1万件以上が流出した可能性がある問題で、JF全漁連は10月3日、休止中の同サイトを7日に閉鎖すると発表した。

　5月に警視庁からサイト改ざんの恐れについて連絡を受けてサイトを休止し、調査や対応を行っていた。扱っていた商品は、「JFおさかなマルシェ ギョギョいち JAタウン店」で引き続き購入できる。

　JF全漁連の8月の発表によると、サイトを構築サービスのクロスサイトスクリプティング（XSS）脆弱性を突いた第三者による不正アクセスにより、不正ファイルが設置され、ペイメントアプリケーションが改ざんされたことが原因で、ユーザー情報が流出した可能性がある。

　流出の可能性があるのは、会員登録したユーザー2万1728件の氏名、性別、生年月日、メールアドレス、郵便番号、住所、電話番号2万1728件と、クレジットカード情報を入力した一部のユーザー1万1844件のクレジットカード番号、有効期限、セキュリティコード。

　サイト閉鎖後も、被害があった可能性があるカードや損害について、顧客の負担にならないよう、カード会社に依頼しているという。登録されていた個人情報はすべて消去する。