セブンネットショッピングは10月23日、通販サイト「セブンネットショッピング」でなりすましによる不正アクセスがあり、ユーザーのクレジットカード情報などを含む個人情報が第三者に閲覧された可能性があると発表しました。不正アクセスの発生期間は4月17日〜7月26日としており、発生から発表まで約半年を経ていることになります。

photo

 不正アクセスの対象は、会員サービス「いつもの注文」にクレジットカード情報を登録しているユーザーの一部。解析によれば、最大で15万165件のカード情報が閲覧された可能性があります。閲覧された可能性のある項目は、(1)クレジットカードの番号および有効期限、(2)配達先の氏名、住所、電話番号です。クレジットカードのセキュリティコードについては同社が情報を保有していないため、不正閲覧はありません。自身のIDが不正アクセスの対象かどうかは、こちらのページで確認できます。

 同社は、クレジットカード会社から情報流出懸念の連絡を受け、6月以降からセキュリティ専門会社と調査を開始。その結果、

  • 同社からのID・パスワードの流出は検知されなかった
  • 「外部のネットサービス」から不正に入手したID・パスワードを利用して不正アクセスを試みた第三者がいる
  • 不正アクセスの成功により、顧客の個人情報が閲覧された可能性がある

 といったことが判明。不正アクセス発生時、「いつもの注文」のプログラムに不具合があったため、不正アクセス者に「不具合のある画面」からクレジットカード情報が閲覧された可能性があったといいます(不具合は現在修正済み)。同社は事件を受け、ログイン認証の画像文字入力の導入やカードの不正使用モニタリング強化といった対応策を行いました。

 外部サービスから漏れたID・パスワードを使った不正アクセスはこのところ、ソーシャルゲームサイトなど各種のWebサービスで続発しています。