コーヒーチェーン「タリーズ」の通販サイト「タリーズ オンラインストア」で、不正アクセスにより個人情報、クレジットカード情報が流出した可能性があることが発覚した。2024年10月3日、タリーズコーヒージャパン(東京都新宿区)が公式サイトで発表した。
流出した可能性のある情報の中には、クレジットカードのセキュリティコードも含まれていることから、SNSでは一部で「セキュリティコードを保管していたのでは」とする声が寄せられている。タリーズ側は、この見方を否定している。
個人情報92,685件、クレジットカード情報52,958件が流出の可能性
発表によると、流出の可能性があるのは、個人情報9万2685件、クレジットカード情報5万2958件。これまでに会員登録した利用者の個人情報と、21年7月20日から24年5月20日の間に「タリーズ オンラインストア」を利用した人のクレジットカード情報が対象だという。
流出の可能性があるクレジットカード情報は、「クレジットカード番号」「カード名義人名」「有効期限」「セキュリティコード」だと説明されている。
Xでは、流出の可能性がある情報にセキュリティコードが含まれていることが注目を集めた。
「日本カード情報セキュリティ協議会」の公式サイトによると、クレジットカード情報のうち「PIN(4~6桁の暗証番号)/PINブロック(PINの暗号化コード)、クレジットカード裏面(または表面)の磁気ストライプ情報とセキュリティコード」は加盟店側で保存することが禁止されているからだ。
一方、今回の原因については「システムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため」と説明されており、情報を保管しているサーバーへの不正アクセスには言及されていない。
しかし、一部では、「なんでクレカのセキュリティコード保管しちゃってるんですかね」「セキュリティコードまで保管してるとか詐欺に即使えるね」といった批判の声が寄せられた。
(広告の後にも続きます)
カード情報入力時、第三者に流出する形で改ざんの形跡
では本当に、セキュリティコードを保管していたために流出してしまったのか。4日にJ-CASTニュースの取材に応じた秘書広報グループの担当者は、「タリーズ オンラインストア」の運営は別会社に委託していたとし、セキュリティコードについて「自社、運営会社共にサーバー上に保存は一切しておりません」とした。
流出懸念の理由については、「調査した結果、決済時にクレジットカード情報(セキュリティーコード含む)を入力した際に第三者に流出されるというデータ改ざんをされた形跡を確認しています」と説明した。
発表によると、「タリーズ オンラインストア」は現在一時閉鎖中だ。第三者調査機関による調査の結果を踏まえ、「システムのセキュリティ対策及び監視体制の強化」を行っているという。「クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております」とも説明している。