事案の発生 
■被害企業

カンコー学生服 ｜カンコー学生服カンコー学生服の公式ウェブサイトです。制服・体操服の商品情報や教育ソリューションコンテンツ、そして子どもたちの未来にエールを送る、様々な活動についてご紹介します。kanko-gakuseifuku.co.jp

サーバー設置先： NIFTY Corporation （JP) 、 サーバー証明書： Cybertrust Japan SureServer CA （JP） OV証明書
■被害サイト

制服通販のカンコーオンラインショップ原宿【公式制服通販】制服通販カンコーオンラインショップ原宿では、多数の制服・スクールアイテムを取り揃えている制服専門店です。KANKO Harajuku Select・イーストボーイなど多数の制服ブランドを扱い、皆さまに上質な制服をお届けします。shop.kanko-gakuseifuku.co.jp

サーバー設置先： Amazon （US) 、 サーバー証明書： GlobalSign - AlphaSSL CA （BE） DV証明書

 事案の概要 
菅公学生服が運営する「カンコーオンラインショップ原宿セレクトスクエア」への不正アクセスによりカード決済の画面を表示するペイメントアプリケーションが改ざんされ、個人情報が漏えいした事案です。

　影響範囲　
2021年4月25日～2023年8月21日、「カンコーオンラインショップ原宿セレクトスクエア」でカード決済をした利用者3,827名のカード情報と個人情報が漏えいした可能性があります。

ECサイトが増えるにつれ、ペイメントアプリケーションの改ざんによる被害があとを絶たず発生しています。下記は4年以上前のアパレル系の情報サイトの記事ですが、簡潔にまとめられています。

　「非保持化」前提の攻撃増加、狙われる「サイトのぜい弱性」　2018年6月の割賦販売法改正にあわせて、ネット販売企業は通販サイトのクレジットカード情報非保持化に...apparel-web.com

この頃からECサイトへの不正アクセスの状況は変わっておらず、本事案のように長期間気づかれることなく個人情報が盗み取られ、クレジットカード会社からの連絡で発覚する事案が毎月のように発生しています。被害に遭った企業の対応やリリースも、すっかり定型化されています。

詳細は、菅公学生服が発行した次のリリースに掲載されています。

弊社が運営する「カンコーオンラインショップ原宿セレクトスクエア」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせこのたび、弊社が運営する「カンコーオンラインショップ原宿セレクトスクエア」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報（漏えい対象者数3,827名（対象者は一部確認中です。））が漏えいした可能性があることが判明いたしました。 お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し…kanko-gakuseifuku.co.jp