観光施設「スパリゾートハワイアンズ」で知られる常磐興産は2017年7月12日、同社のショッピングサイト「ハワイアンズモール」で、最大6860件のクレジットカード情報が流出した可能性があると発表した。原因は、システムで利用していたSSL/TLSライブラリである「OpenSSL」の脆弱性「HeartBleed」である。
関連記事:図解でわかるHeartBleed
常磐興産がハワイアンズモールの運営を委託しているシステムフォワードが提供するシステムが、外部からの不正アクセスを受け、情報が流出した。不正アクセスを受けたのは、2017年2月10日から5月25日の間と見られ、この間にハワイアンズモールでクレジットカード決済を行ったユーザーのクレジットカード情報が流出した可能性がある。なお、スパリゾートハワイアンズ施設内でのクレジットカードの利用は、情報流出の対象ではないという。
2017年5月25日にクレジットカード決済代行会社からクレジットカード情報が流出した可能性があると指摘され、同日、クレジットカード決済を停止した。その後、調査会社のPayment Card Forensics(PCF)に調査を依頼した。その結果、HeartBleedが原因であることが分かり、OpenSSLをアップデートした。同年6月30日にPCFから最終調査報告を受け、不正アクセスによりクレジットカード情報が流出したことが判明した。
[ハワイアンズモールの「不正アクセスによる個人情報流出に関するお詫びと報告」]
[常磐興産のプレスリリース]
