楽天の100%子会社でファッション通販サイト「Stylife」を運営するスタイライフは2014年1月29日までに、不正アクセス攻撃によって最大で2万4158件のクレジットカード情報が第三者に漏洩した可能性があると発表した。同日からWebサイトにおける告知を始めた。

 不正アクセスが確認された期間は2013年9月1日から2014年1月14日まで。1月10日にクレジットカード会社から通報があり、調査したところ不正アクセスの可能性が判明したという。1月14日までに対策を終えたとしている。

 この調査によれば、他のサイトで不正取得したIDとパスワードを利用してログインを試行する攻撃を受けており、攻撃者がログインに成功した形跡が見られた。クレジットカード番号、カード名義、有効期限が閲覧された可能性があるという。クレジットカード裏面に印刷されている「セキュリティーコード」は保持していなかったため、漏洩の可能性はない。

 被害を受けた可能性がある顧客は、「Stylife ID」の利用者のうち、クレジットカード情報を登録していた人の一部。楽天に子会社化されたスタイライフは2013年9月17日にStylife IDの新規登録を廃止し、楽天会員IDによる購入を原則としている。楽天会員ID・パスワードによる不正アクセスは認められなかったという。

 スタイライフは被害を受けた可能性がある顧客に対しては1月22日付けで電子メールを配信し、不正アクセスの事実を通知すると共に、問い合わせ窓口を設置していた。対象者以外への積極的な情報開示はしていなかった。同社は改めて顧客に対して、パスワードの変更と「心当たりのないクレジットカード利用への注意」を呼びかけている。

スタイライフの発表資料(PDF)