セブンネットショッピングで不正アクセス、カード情報15万件流出の可能性
2013年10月23日 14:36
セブン&アイ・ホールディングス傘下のセブンネットショッピングは23日、同社が運営する通販サイトにおいて外部からなりすましによる不正なアクセスがあり、第三者によって顧客の一部の個人情報が不正に閲覧された可能性があることが判明したと発表した。流出した可能性がある個人情報にはクレジットカード情報も含まれており、その数は最大で15万165件であることが同社のアクセスログにより確認されている。
セブンネットショッピングによると、同社は今年6月以降、クレジットカード会社からクレジットカード情報の流出懸念について連絡があったことから情報セキュリティ専門会社の協力のもと調査を行ってきたが、調査の結果、第三者が外部インターネットサービス等から不正に取得したID、パスワードを使用して顧客になりすまし、セブンネットショッピングの通販サイトの会員サービス情報に不正にアクセスし、登録されたクレジットカード情報を含む一部の顧客の個人情報を閲覧した可能性があることが判明したという。なお、調査の結果、セブンネットショッピング社からIDやパスワードが流出したという事実は検知されていないという。
不正アクセスの発生期間は2013年4月17日から同年7月26日までで、氏名、住所、電話番号の情報およびクレジットカード情報(カード番号、カード有効期限)が不正に閲覧された可能性がある。対象者は、セブンネットショッピングの会員サービス「いつもの注文」にクレジットカード情報を登録している顧客の一部で、「e.デパート」「ネットスーパー」「セブンミール」「アカチャンホンポ」「チケットぴあ」「トラベル」の会員として登録した情報は対象外となる。また、不正アクセスにより閲覧された可能性のあるクレジットカード情報の件数は最大で150,165件であることが確認されている。
原因については、不正アクセス発生時、サイト内の「いつもの注文」の一部のプログラムに不具合があり、不正アクセス者に不具合のある画面からクレジットカード情報が閲覧された可能性があると説明している。なお、同不具合については、調査の過程で発見された7月26日時点で即日改修を完了したとしている。
また、セブンネットショッピングでは今回の事態を受け、第三者からの機械的な不正アクセスを防御するため、ログイン時のパスワード入力を複数回誤った場合の認証方式として画像文字を入力する方式を追加。さらに、カード番号を閲覧された可能性のあるクレジットカードについては、各クレジットカード会社の協力により不正使用モニタリングを強化し、悪用防止措置を行っているという。