止まらない不正アクセス--各社の被害と対策まとめ

藤井涼 (編集部)2013年08月02日 15時52分
  • このエントリーをはてなブックマークに追加

 企業サイトやサービスへの不正アクセスが止まらない。その対象はネット企業のみならず、メーカーや百貨店などさまざまだ。ここでは、この数カ月で発生した不正アクセスの内容や被害状況、各社の対策などをまとめている。

◇ヤフー

 不正アクセスの発表日:5月17日

 不正アクセスの発生日:5月16日

  • 「Yahoo! JAPAN」

 流出対象:2200万のYahoo! JAPAN ID。このうち148万6000件は、不可逆暗号化されたパスワードと、パスワードを忘れてしまった場合の再設定に必要な情報の一部が含まれていた。

 内容:Yahoo! JAPAN IDを管理しているサーバに外部からの不正アクセスがあり、最大2200万件のYahoo! JAPAN IDを抽出したファイルが作成されていることが判明。このうち148万6000件は、不可逆暗号化されたパスワードと、パスワードを忘れてしまった場合の再設定に必要な情報の一部が流出した可能性が高いことを確認した。

 対応と対策:5月24日に強制的にパスワードと秘密の質問をリセットし、ユーザーに再設定の手続きを求めた。また、対象のIDかどうかを確認できるツールを提供した。

 なおヤフーは5月27日に、「ヤフオク!」を利用する最大835のユーザーに対し、1427人分の「Yahoo! JAPAN ID」と「メールアドレス」を組み合わせたリストをメールで誤送信したことを発表。その後の調査で、新たに最大179人に9万4317人分のリストを送信していたことを発表している。

◇三越伊勢丹ホールディングス

 不正アクセスの発表日:5月25日

 不正アクセスの発生期間:5月6日~23日

  • 「三越オンラインショッピング」

 流出対象:三越伊勢丹のショッピングサイト「三越オンラインショッピング」に登録された最大8289件の会員情報が閲覧された可能性。会員情報は、氏名、住所、電話番号、生年月日、性別、メールアドレス。クレジットカード番号は番号の下4桁。

 内容:5月15日に三越オンラインショッピングで大量のアクセスエラーが発生していることを確認し、調査を開始。5月23日に不正IPアドレス15件を確認するとともに、不正アクセスにより会員情報が閲覧・情報漏洩していたことが判明した。

 対応と対策:当該IPアドレスからのアクセスを遮断し、5月24日に三越オンラインショッピングサイトをクローズした。現在は復旧している。また、不正アクセスの可能性のある顧客のパスワードを初期化し、メールで個別にパスワードの変更を依頼した。

◇エクスコムグローバル

 不正アクセスの発表日:5月27日

 不正アクセスの発覚日:4月23日

  • 「GLOBAL DATA」

 流出対象:最大10万9112件の顧客のクレジットカード名義人名、カード番号、カード有効期限、セキュリティコード、申込者住所。当該情報は、2011年3月7日~2013年4月23日までに申し込んだユーザーが対象になる。

 内容:エクスコムグローバルの契約先である決済代行会社より、クレジットカード情報の流出懸念について連絡があり、専門調査会社「Payment Card Forensics(PCF)」に調査を依頼。その結果、4月23日に「GLOBAL DATA」と「Global Cellular」のウェブサーバに対して、外部からの不正アクセスがあり顧客情報が流出したことが判明した。

 対応と対策:4月23日にサイトからの申し込みを停止し、データベースサーバ内のクレジットカード情報の削除を行い、オンラインでのクレジットカード決済を停止した。対象となるユーザーにはメールで顧客情報流出について通知し謝罪した。併せて次の申し込み時に利用できる3000円割引の特別優待券(クーポン)をメールで送付した。その後は、申し込み時にクレジットカード情報を取得しない運用に切り替え、空港カウンターでの対面決済のみで取り扱っている。

◇任天堂

 不正アクセスの発表日:7月5日

 不正アクセスの発生期間:6月9日~7月4日

  • 「クラブニンテンドー」

 流出対象:任天堂の会員サイト「クラブニンテンドー」の顧客の氏名、住所、電話番号、メールアドレス。

 内容:他社サービスから流出したと思われるIDとパスワードを使用し2万3926件(ログイン試行回数:1545万7485回)の不正ログインが行われた。

 対応と対策:セキュリティの強化および監視レベルを強化し、不正ログインが行われたID、パスワードを利用したログインができない措置を実施。該当する顧客にメールで通知するとともに、他社サービスと同一のパスワードを使っている会員に、別のパスワードを設定するよう求めた。

◇コナミデジタルエンタテインメント

 不正アクセスの発表日:7月9日

 不正アクセスの発生期間:6月13日~7月7日

  • 「KONAMI IDポータルサイト」

 流出対象:コナミデジタルエンタテインメントの会員サイト「KONAMI IDポータルサイト」の顧客の氏名、住所、生年月日、性別、電話番号、メールアドレス。

 内容:他社サービスから流出したと思われるIDとパスワードを使用し3万5252件(ログイン試行回数:394万5927回)の不正ログインが行われた。

 対応と対策:セキュリティの強化および監視レベルを強化し、不正ログインが行われたID、パスワードを利用したログインができない措置を実施。該当する顧客にメールで通知するとともに、他社サービスと同一のパスワードを使っている会員に、別のパスワードを設定するよう求めた。

  • このエントリーをはてなブックマークに追加