ミネルヴァ・ホールディングスは6日、連結子会社のナチュラム・イーコマースが運営するショッピングサイト「アウトドア&フィッシング ナチュラム」において、外部からの不正アクセスにより個人情報が流出した可能性があるとして、事態を公表した。流出した可能性のあるデータは65万3424件で、そのうちクレジットカード番号(下4桁を除く)が含まれるものが8万6169件あったとしている。
ミネルヴァ・ホールディングスによれば、7月9日にクレジットカード会社からカード情報流出の可能性があるとして調査依頼があり、7月10日にセキュリティ専門会社による調査を開始。外部からの不正アクセスの痕跡が発見され、この時点では情報流出の有無は不明であったが、不正アクセスの可能性のある外部からのルートをすべて遮断するとともに、システム内のクレジットカード情報をすべて削除し、クレジット決済を一時休止したという。
その後、7月18日に個人情報を閲覧された痕跡が確認されたため、流出の可能性がある顧客の特定作業を開始。8月6日に、Webサイトで事態を公表するとともに、流出の可能性がある顧客に対してメールを配信したという。また、カード決済については、セキュリティ専門会社による診断により安全性が確認されたため、7月22日から再開したとしている。
不正アクセスの原因については、セキュリティ専門会社の分析の結果、犯人はメンテナンス用のサーバーに不正侵入し、このサーバーを経由してWebサーバーに不正アクセス用のプログラムを設置したと推定している。 この不正アクセス用プログラムにより、2000年5月~2008年7月10日の間に買い物や会員登録などをした顧客の個人情報を収めた「顧客マスター」が閲覧され、個人情報が流出した可能性が高いとしている。不正侵入については、SQLインジェクション攻撃を足がかりとして行われた可能性が濃厚だとしている。
顧客マスターには、ショッピングサイトの「アウトドア&フィッシング ナチュラム」「ナチュラムモバイルショップ」のほか、ブログサービス「blog@naturum」の利用者情報が記録されていた。顧客マスターの個人情報項目は、必須項目がユーザーIDとパスワード、氏名、メールアドレスの4項目。任意項目が住所や携帯電話番号、電話番号、FAX番号、生年月日、クレジトカード名義、クレジットカード有効期限、クレジットカード番号(下4桁は保持していない)、家族構成管理コード、性別管理コードの10項目となっている。
ミネルヴァ・ホールディングスでは、事態を公表するとともに、事件の経緯や流出した可能性のあるデータの内容、事件に関するFAQを開設したほか、フリーダイヤルによる問い合わせ窓口を設置。ユーザーに対して説明を行うとともに、登録パスワードの変更を求めている。
また、カード情報については、流出の可能性がないと思われる情報も含めてすべてのカード情報(24万2741件)をクレジットカード会社と共有して対応にあたるが、念のためにクレジットカードの利用明細を確認し、身に覚えのない利用履歴があった場合には早急にカード会社に相談してほしいとしている。
関連情報
■URL
ニュースリリース
http://minerva-hd.com/ir/release/2008/08/06090000.html
不正アクセス発生についての報告とお詫び
http://www.minerva-hd.com/faq_c_080806/top_080806.html
同件に関するFAQ
http://www.minerva-hd.com/faq_c_080806/faq/0907.html
ナチュラム
http://www.naturum.co.jp/
( 三柳英樹 )
2008/08/06 12:35
- ページの先頭へ-
|