サッカー用品を扱う「Kemari87KISHISPO公式通販サイト」が不正アクセスを受け、不正注文後に脆弱性を悪用され、個人情報を窃取する不正なプログラムが設置され、同サイトで商品を購入した顧客3万8664人に関する氏名や住所、電話番号、メールアドレスが流出したおそれがある。また同サイトにおいて登録や変更、決済においてクレジットカード情報を入力した顧客1万3879人については、クレジットカードの名義や番号、有効期限、セキュリティコードのほか、住所、電話番号、メールアドレスなども搾取されたとしている。

攻撃方法は、不正注文を行い注文データを参照。サイトの脆弱性を悪用してスクリプトを実行され、情報を窃取するプログラムが設置したもので、大阪府警よりクレジットカード情報が漏洩した可能性について指摘があり、問題が発覚。同社では不正プログラムを特定して削除した。一部クレジットカード会社からクレジットカード情報が流出した可能性があると連絡があり、クレジットカード決済についても停止している。

同社は個人情報保護委員会へ報告、警察にも届けでた。

外部事業者による調査は同月26日に完了。対象となる顧客には5月14日よりメールで経緯を報告し、謝罪するとともに、身に覚えのない請求などが発生していないか確認するよう呼びかけている。

クレジットカード決済の再開日は、決定次第サイトで公表する予定。