事案の発生 
■被害企業

サッカーショップ＆フットサルショップKISHISPO 公式サイトKISHISPO(キシスポ)Kemari87は関西最大級のサッカー＆フットサル専門店です。サッカースパイクやフットサルシューズをはじめ豊富な品揃え。限定品や激安特価品を店舗、ネット通販で販売しています。www.kishispo.com

サーバー設置先： GMO DigiRock （JP) 、 サーバー証明書： Let's Encrypt （US） DV証明書

■被害サイト

Kemari87 KISHISPO / 公式オンラインストアサッカー＆フットサルショップKISHISPO Kemari87は、西日本最大級フットボール専門店、通販サイトです。サッカースパイクやフットサルシューズをはじめ、限定品や特価品など豊富な品揃えで皆さまをお待ちしております。www.kishispo.net

サーバー設置先： Yahoo! Japan （JP) 、 サーバー証明書： JPRS Domain Validation Authority （JP） DV証明書

 事案の概要 
岸和田スポーツが運営する「Kemari87KISHISPO公式通販サイト」への不正アクセスによりカード決済の画面を表示するペイメントアプリケーションが改ざんされ、個人情報が漏えいした事案です。

　影響範囲　
2021年2月24日～2024年1月17日、「Kemari87KISHISPO公式通販サイト」でカード決済をした利用者13,879名のカード情報と、他の決済手段で購入した利用者を含む38,664名の個人情報が漏えいした可能性があります。

ECサイトが増えるにつれ、ペイメントアプリケーションの改ざんによる被害があとを絶たず発生しています。下記は5年ほど前のアパレル系の情報サイトの記事ですが、簡潔にまとめられています。

　「非保持化」前提の攻撃増加、狙われる「サイトのぜい弱性」　2018年6月の割賦販売法改正にあわせて、ネット販売企業は通販サイトのクレジットカード情報非保持化に...apparel-web.com

この頃からECサイトへの不正アクセスの状況は変わっておらず、本事案のように長期間気づかれることなく個人情報が盗み取られ、クレジットカード会社からの連絡で発覚する事案が毎月のように発生しています。被害に遭った企業の対応やリリースも、すっかり定型化されています。

詳細は、岸和田スポーツが発行した次のリリースに掲載されています。

弊社が運営する「Kemari87KISHISPO公式通販サイト」への不正アクセスによるクレジットカード情報及び個人情報漏洩に関するお詫びとお知らせ | 岸和田スポーツ2024年5月14日このたび、弊社が運営する「Kemari87KISHISPO公式通販サイト（https://www.kishispo.net/）」（以下、弊社ECサイト）におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報（13,879名）及び個人情報（38,664名）が漏洩した可能性があることが判明いたしました。...www.kishispo.net