GMOインターネットのグループ会社、GMOペパボは2018年1月26日、第三者による不正アクセスを受け、個人情報の流出が発生したと発表した。情報流出を確認したのは、ネットショップ運営サービス「カラーミーショップ」を利用中または利用したことがあるショップオーナーの住所や氏名など最大7万7385件。一部はクレジットカード情報を含み、ショップの購入者に関する情報も流出した可能性があるとしている。
不正アクセスが判明したのは1月7日。サーバー異常検知システムの警告が出て調査した結果、外部から不正プログラムを置かれ、実行された可能性があることが分かった。同日に侵入経路を遮断し、不正プログラムを実行できないように対処。1月8日に外部のセキュリティ専門機関に調査を依頼した。1月10日には閲覧された可能性のある情報の中に一部のショップオーナーや購入者のクレジットカード情報が含まれていたことが判明した。
1月25日にセキュリティ専門機関から受領したフォレンジック調査結果によると、流出した(アクセスの証跡が残っていた)ショップオーナーのクレジットカード情報(カード番号)は22件、流出した可能性があるショップオーナーのクレジットカード情報は最大9430件(カードの番号や有効期限、最大7259件はセキュリティコードまで含む)、流出した可能性のある購入者のクレジットカード情報は最大2711件(同、最大485件はセキュリティコードまで含む)など。
このほか、ショップオーナーについてはクレジットカード以外の情報も流出を確認しており、ログインIDとパスワード(ハッシュ化済み)、住所、氏名、電話番号、生年月日、メールアドレスなどが最大7万7385件となる。
GMOペパボによると、現時点で2次被害の報告は受けていない。1月22日時点ですべてのショップオーナーのパスワードリセットを終え、ショップオーナーに対しては1月26日に電子メールで連絡した。クレジットカード情報が流出した可能性のある顧客にはショップオーナーから連絡が届くことなる。
GMOペパボは1月26日、佐藤健太郎社長を委員長とした「再発防止委員会」を設置。外部の専門家アドバイザーも加わり、全サービスのセキュリティ強化と再発防止に取り組んでいくとしている。
