楽天、約149万件の情報が不正にアクセスできる状態に--営業管理システムの設定不備で

　楽天は12月25日、社外のクラウド型営業管理システムに保管された一部の情報について、第三者からのアクセスを確認したと発表した。システムのセキュリティ設定の不備が原因としている。

　不正にアクセスされた情報は、楽天や楽天カード、楽天Edyの3社が保有するもの。11月24日に、社外のセキュリティ専門家の指摘により発覚。同日より、社内のセキュリティ専門部署が中心となって3社での対応を開始。調査したところ、3社合計で148万6291件の情報が外部からアクセスできる状態だったとしており、そのうちの614件については、実際に海外から不正アクセスがあったとしている。

　同社では、当該システムの設定変更を11月26日までに完了。変更後は、第三者からのアクセスは確認されておらず、今回の不正アクセスによる法人・個人の被害なども、現時点では確認されていないという。

楽天市場は、出店見込み客や契約事業者などが対象

　楽天市場では、同サービスへの法人向け資料請求者と店舗情報が対象で、一部の出店見込み・契約済み事業者の企業名、店舗名、住所、代表者名、担当者名、電話番号、FAX番号、メールアドレス、営業対応情報など、最大138万1735件の情報が、2016年1月15日から2020年11月25日までの期間、外部からアクセス可能となっていた。また、そのうちの208件については海外からの不正アクセスを確認している。

楽天カードは、ビジネスローンの申込者が対象

　楽天カードの場合、事業者向けビジネスローンの申込者情報が該当する。2013年4月1日から2020年7月18日までの期間中に、ウェブサイトからビジネスローンを申し込みしたユーザーが対象で、その件数は、法人・個人事業主の合計で1万5415件。2016年1月15日から2020年11月26日までアクセス可能な状態となっており、実際に不正アクセスが確認されたのは、そのうちの304件という。なお、楽天ビジネスカードを含む楽天カードの会員情報は、別システムで管理しており、今回の被害の対象ではないとしている。

　情報の項目は、法人・個人事業主の場合で、名称、住所、メールアドレス、売上高、売上原価、借入状況、法人口座（銀行名・支店名・口座番号・名義）。代表者では、氏名、住所、電話番号、生年月日、居住状況、世帯人数、借入状況、勤続年数、運転免許証番号、個人口座（銀行名、支店名、口座番号、名義）、年収など。さらに、保証人の場合は、氏名、住所、電話番号、生年月日、居住状況、世帯人数、勤務先（名称、住所、電話番号）、運転免許証番号などとなっており、融資希望者では、金額、開始日、期間、返済方法、資金使途、利率、審査結果が対象となる。

楽天Edyは、端末故障で残高の移行を申し込んだユーザーが対象

　楽天Edyでは、故障した端末内の残高を別の端末に移行するサービスに申し込んだユーザーが対象となる。外部に公開された可能性のある項目は、氏名と故障した端末の電話番号、Edy番号など。閲覧可能だった期間は、2016年1月15日から2020年11月26日までで、最大8万9141件。外部からの不正アクセスは、そのうち102件が確認されている。

　該当する申請期間は、「おサイフケータイ」機能付き携帯電話で、2010年10月1日から2019年3月4日まで。docomo select「おサイフケータイ ジャケット01」の場合、2014年10月30日から2020年11月18日まで。ソニー製スマートウォッチ「wena wrist」シリーズの一部では、2016年3月24日から2020年11月18日までとなる。

　同社では、社内調査結果をもとに、楽天カード、楽天Edyでは各監督官庁へ、楽天は個人情報保護委員会にそれぞれ報告。情報が閲覧された可能性がある法人・個人のユーザーに対し、問題の概要および問い合わせ先を案内するという。

　なお、問題の発覚から報告まで1カ月を要している。その理由について同社広報部は、「正確な情報をきちんとお伝えしたかったが、今回、社内ではなく社外のシステムだったため、確認に通常よりも時間を要した。お客様には心配をおかけした」と述べている。