OpenSSLの脆弱性を狙った攻撃で会員情報の不正閲覧、三菱UFJニコスが被害公表

　三菱UFJニコス株式会社は18日、同社のクレジットカード会員向けウェブサービスにOpenSSLの脆弱性を狙った不正アクセスがあり、のべ894人のユーザーの登録情報が不正閲覧されたと発表した。

　三菱UFJニコスによると、4月11日午後6時33分に不正アクセスを検知し、直ちに調査を開始。OpenSSLの脆弱性を狙った不正アクセスであると特定し、影響範囲を調査するとともに、ウェブサービスを停止した。12日未明には、OpenSSLのバージョンアップを図るなど安全体制を確保し、12日午前7時48分にウェブサービスを再開したという。

　不正閲覧が確認されたのは、三菱UFJニコス発行のクレジットカードを保有しているウェブ会員の一部で、対象会員数はのべ894人。三菱UFJニコスがカード発行業務を受託している先のウェブ会員の一部も含まれる。

　不正閲覧された情報は、カード番号（一部非表示）、氏名、生年月日、住所、電話番号、メールアドレス、有効期限、ウェブサービスID、カード名称、入会年月、利用代金支払口座（金融機関名、支店名）、勤め先名、勤め先電話番号など。カード番号は一部非表示のため不正使用の可能性は極めて低いと考えられ、カードの暗証番号やウェブサービスのログインパスワードは不正閲覧されていないという。

　また、カードの不正使用や個人情報の悪用は確認されていないが、被害が発生した場合にはユーザーに負担をかけることのないよう対応するとしている。

　三菱UFJニコスでは、日頃から不正アクセスについての対応を進めてきたが、今回の件の発生を阻止できなかったことを深く反省し、再発防止の徹底を図っていくと説明。再発防止策としては、システムの防衛体制をさらに強化するとともに、リスク管理要員やサイバー攻撃対応要員を含めたネット不正対応の専門チームを組成するとしている。