セブンネットショッピングに不正アクセス--15万件が流出

　通販サイト「セブンネットショッピング」を運営するセブンネットショッピングは10月23日、なりすましによる不正アクセスによって、約15万件の顧客のクレジットカード情報などが閲覧された可能性があることを発表した。不正アクセスの発生期間は4月17日～7月26日で、発生時に見つかったプログラムの不具合は、7月26日に改修されている。

　同社は6月以降、クレジットカード会社からクレジットカード情報の流出懸念について連絡を受け、セキュリティ会社の協力のもと調査を実施。その結果、第三者が外部ネットサービスなどから不正に取得したID、パスワードを使用して顧客になりすまし、セブンネットショッピングの会員サービス情報に不正にアクセス。登録されたクレジットカード情報を含む一部の個人情報を閲覧した可能性があることが判明したとしている。

　対象となるのは、セブンネットショッピングの会員サービス「いつもの注文」にクレジットカード情報を登録している顧客の一部。閲覧された可能性があるのは、商品届け先の氏名、住所、電話番号の情報と、クレジットカードのカード番号や有効期限。同社のアクセスログによって、最大で15万165件のクレジットカード情報が閲覧された可能性があると確認されている。

　同社では、個人情報を不正に閲覧された可能性がある顧客にはメールで案内するとともに、専用のお問い合わせ窓口を設置している。また、自身で対象かどうかをサイト上で確認することもできる。なお、「e.デパート」「ネットスーパー」「セブンミール」「アカチャンホンポ」「チケットぴあ」「トラベル」の会員として登録された情報は、対象外となる。

不正アクセスへの対応と再発防止策

　セブンネットショッピングによれば、「いつもの注文」の一部のプログラムに不具合があり、不正アクセス発生時にはその不具合のある画面からクレジットカード情報が閲覧された可能性があるとしている。この不具合は、調査の過程で発見された7月26日時点で改修されているという。

　不正アクセスの発覚後には、ログイン認証を強化。第三者からの機械的な不正アクセスを防御するため、ログイン時のパスワード入力を複数回誤った場合の認証方式として、画像文字を入力する方式を追加した。

　また、カード番号を閲覧された可能性のあるクレジットカードについては、各クレジットカード会社の協力により、不正使用モニタリングを強化し、悪用防止措置を行っているとしている。