セブン&アイの通販サイトで最大15万件の顧客の個人情報流出か?

2013年10月27日 09:50

 セブン&アイ・ホールディングス<3382>傘下のセブンネットショッピングは、同社の通販サイトにおいて、外部からなりすましによる不正なアクセスがあり、第三者に顧客の一部の個人情報を不正に閲覧された可能性があることが判明したと発表した。

 同社は、2013年6月以降、クレジットカード会社からクレジットカード情報の流出懸念について連絡があったことから、情報セキュリティ専門会社の協力のもと調査を行ってきた。その結果、第三者が外部インターネットサービス等から不正に取得したID、パスワードを使用して顧客になりすまし、同サイトの会員サービス情報に不正にアクセスし、登録されたクレジットカード情報を含む一部の顧客の個人情報を閲覧した可能性があることが判明した。なお、調査の結果、同社からIDやパスワードが流出したという事実は検知されていない。

 第三者による閲覧の可能性がある個人情報は、セブンネットショッピングの会員サービス「いつもの注文」にクレジットカード情報を登録している顧客の一部。今回の不正アクセスにより閲覧された可能性のあるクレジットカード情報は、同サイト「いつもの注文」に登録されたクレジットカード情報のうち、最大で150,165件であることが同社アクセスログにより確認されている。

 不正アクセスの発生期間は13年4月17日から同年7月26日まで。顧客の氏名、住所、電話番号及びクレジットカード情報が閲覧された可能性がある。

 同社は対策として、同サイト上の「いつもの注文」画面の脆弱性の修正。ログイン認証の強化として第三者からの機械的な不正アクセスを防御するため、ログイン時のパスワード入力を複数回誤った場合の認証方式として、画像文字を入力する方式を追加している。また、カード番号を閲覧された可能性のあるクレジットカードについては、各クレジットカード会社の協力により、不正使用モニタリングを強化し、悪用防止措置を行っている。同社は、今回の事態を厳粛に受け止め、原因の徹底究明と全社を挙げての再発防止に取り組み、今後同様の事態により再び顧客に迷惑をかけるようなことのないようにするとしている。(編集担当:久保田雄城)