セブンネットに不正ログイン、脆弱性も絡んでカード情報15万件見られた可能性

　株式会社セブンネットショッピングは23日、セブン＆アイグループの通販サイト「セブンネットショッピング」において今年4月から3カ月以上にわたり、第三者によるなりすまし不正ログインが発生していたことを公表した。最大で15万件あまりのクレジットカード情報などが閲覧された可能性があるという。

　不正ログインされたアカウントは、「いつもの注文」サービスにクレジットカード情報を登録している会員の一部。該当する具体的なアカウント数は明らかにしていないが、自身のアカウントが含まれるかどうかを確認できるページが用意されている。なお、「e.デパート」「ネットスーパー」「セブンミール」「アカチャンホンポ」「チケットぴあ」「トラベル」の会員として登録された情報は対象外だという。

　閲覧された可能性があるのは、届け先の氏名・住所・電話番号、クレジットカード番号および有効期限。クレジットカード情報については、「いつもの注文」に登録されたもののうち、最大で15万165件を閲覧された可能性があることがアクセスログから確認されている。

　他のインターネットサービスから流出したID・パスワードの組み合わせのリストを使ってログインを大量試行する“パスワードリスト攻撃”によるものとみられている。セブンネットショッピングからID・パスワードが流出した事実は確認されていないとしている。

　不正ログインの手口自体は、今年4月ごろから国内のあちこちのネットサービスで発生しているものと同じだが、セブンネットショッピングの場合は、サイトの脆弱性も絡んだことでクレジットカード情報の流出の可能性まで発展したかたちだ。

　閲覧された可能性のあるクレジットカード情報は、一部をマスキングされたものではなく、通常はログインしても表示されない項目だった。当時、「いつもの注文」画面に脆弱性があり、これを攻撃者に利用されてしまったという。この脆弱性については、7月26日の時点で修正した。

　なお、セキュリティコードについては保持していないため、閲覧はされていないとしている。

　また、今回の不正ログインは4月17日から発生していたが、セブンネットショッピングでは3カ月以上これに気が付かなかったことになる。発端は、6月以降、クレジットカード会社からカード情報流出の懸念についてセブンネットショッピングに連絡が入ったこと。それを受けて情報セキュリティ専門会社の協力のもとで調査したところ、7月26日になって不正ログインが判明。その後も具体的な不正ログイン対象アカウントなどを特定するのに時間がかかり、今回、10月23日付で公表するに至った。

　なお、クレジットカード会社が情報流出について調査しているといっても、セブンネットショッピングから流出した可能性のあるカード情報を悪用された被害がすでに出ているというわけではないという。今回のセブンネットショッピングへの不正ログインで流出した可能性のあるカード情報がクレジットカード会社の調査している案件に含まれるのかどうかについては、セブンネットショッピングでは情報を得ていないとしている。

　セブンネットショッピングでは、個人情報を閲覧された可能性のある会員にメールで連絡するとともに、専用の問い合わせ窓口を設置した。また、カード番号を閲覧された可能性のあるクレジットカードについては、クレジットカード会社の協力により不正使用モニタリングを強化し、悪用防止措置をとったとしている。