ペット用品を販売するペットハグは1月15日、運営するウェブサイト「ペットハグサイト」が第三者から不正アクセスを受け、顧客のクレジットカード情報が最大で約4000件流出した可能性があることが分かったと発表した。

　同社によると昨年5月7日、カード会社から同社ウェブサイトで買い物をした顧客のカード情報が流出した恐れがあるとの連絡を受け、同日中にカード決済を停止。第三者調査機関による調査を開始した。6月19日には調査機関による調査が完了し、2018年6月28日～昨年5月7日の期間に通販サイトでカード決済をした顧客のカード情報と、昨年5月18日～5月20日の期間に通販サイトでカード情報を入力した顧客のカード情報が流出し、一部顧客のカード情報が不正利用された可能性があることも分かった。

　ウェブサイトのシステムのぜい弱性を突かれてサイトを改ざんされたことが原因。ペイメントモジュールの改ざんにより、2018年6月28日～昨年5月7日にカードで買い物をした顧客のカード情報が流出した。流出した可能性があるのはカード名義人名、カード番号、有効期限、セキュリティーコードで、最大4011件。

　さらに、ウェブサイトを改ざんされたことで、通販サイトから偽の決済フォームへ顧客が誘導された。カード決済停止後となる昨年5月18日～20日の期間中、偽の決済フォームに入力した顧客のカード情報87件が抜き取られた。流出した可能性があるのはカード名義人名、カード番号、有効期限、セキュリティーコード。偽の決済フォームに誘導されていたことから、取引の成立・不成立に関わらず、カード情報を入力した全員が対象。なお、対象となる顧客のカード情報は特定できていない。

　同社ではカード会社と連携し、流出した恐れのあるカードによる取引のモニタリングを実施し、不正利用の防止に努めている。カードの差し替えを希望する場合は同社が再発行の手数料を負担する。なお、偽の決済フォームにカード情報を入力した顧客のカード情報は特定できていないため、再発行する際の手数料はカード会社により対応が異なる。顧客負担での差し替えとなった場合は、同社の相談窓口に連絡するよう呼びかけている。

　同社では、調査結果を踏まえて、システムのセキュリティー対策と監視体制の強化を行い、再発防止を図るとしている。監督官庁である個人情報保護委員会には昨年6月20日に報告したほか、所轄警察である目黒警察署にも6月19日に被害を申告した。