九州旅客鉄道(JR九州)は2019年4月12日、豪華寝台列車「ななつ星in九州」の関連商品を扱う通販サイトで情報流出があったと発表した。通販サイト「ななつ星 Gallery」が外部から不正アクセスを受け、クレジットカード情報を含む最大約8000人分の個人情報が流出した。

ななつ星 Galleryには現在アクセスできないようになっている
(出所:JR九州)
[画像のクリックで拡大表示]

 JR九州によれば、2019年3月11日に決済代行会社から同サイトの情報流出を懸念する報告があった。同日にサイトを閉鎖し、セキュリティー事故調査会社のP.C.F. FRONTEOに調査を依頼。3月28日に調査報告書を受け取った。決済代行会社やカード会社と協議し、対応体制を整えたうえで本日発表した。

 調査の結果、顧客約8000人の氏名や生年月日、住所、電話番号、パスワードといった個人情報が流出した可能性が高いと判明した。うちクレジットカード番号や有効期限、セキュリティコードを含むものは最大約2800人分あった。情報が流出したと推定される期間は、サイトを開設した2013年10月5日から報告があった2019年3月11日まで。流出の可能性がある顧客には本日よりメールや郵便で経緯を説明するという。

 ななつ星in九州は2013年10月に運航を開始。豪華な内装やもてなしで国内外の富裕層の需要を狙った。攻撃者は富裕層向け列車と知っていた可能性がある。JR九州は2019年4月から専用サイトで次回ツアーの予約受付を始める予定だったが郵送のみの受付に切り替えた。同社は「通販サイトとシステムは別物だが、安全性の確認のために中止した」(広報)と説明する。