セブンネットショッピングでカード情報漏えいの可能性～最大15万件

　株式会社セブンネットショッピングは10月23日、運営する「セブンネットショッピング（http://www.7netshopping.jp/all/）」において、なりすましによる不正アクセスにより、最大15万165件のクレジットカード情報が不正に閲覧された可能性があると発表した。

　セブンネットショッピングでは、2013年6月以降、クレジットカード会社からクレジットカード情報の流出懸念について連絡があったことから、情報セキュリティ専門会社の協力のもと調査を行ってきたという。

　調査の結果、第三者が外部インターネットサービスなどから不正に取得したIDとパスワードを使用してログインし、セブンネットショッピングの会員サービス情報に不正にアクセスを行い、登録されたクレジットカード情報を含む一部の顧客個人情報を閲覧した可能性があることが判明した。

セブンネットショッピングのトップページ

　不正アクセスにより閲覧された可能性があるのは、セブンネットショッピングの会員サービス「いつもの注文」にクレジットカード情報を登録しているユーザーの一部。登録したクレジットカード情報のうち、最大で15万165件であることがアクセスログにより確認されている。運営するセブンネットショッピング株式会社からIDやパスワードが流出したという事実は検知されていないという。

　不正アクセスの発生期間は、2013年4月17日～7月26日。閲覧された可能性がある情報は、商品届け先の氏名、住所、電話番号、クレジットカード情報。クレジットカード情報はカード番号と有効期限で、セキュリティコードについてはセブンネットショッピングで情報を保持していないため、不正閲覧されるおそれはないとしている。

　不正閲覧された可能性のあるIDかどうかは、セブンネットショッピングにログインすることで確認できる。

　なお、「e.デパート」「ネットスーパー」「セブンミール」「アカチャンホンポ」「チケットぴあ」「トラベル」の会員として登録した情報は、対象外となる。また、セブンネットショッピングではYahoo! JAPANのID、Google ID、NTT IDの認証を使ってログインすることも可能だが、これらID認証の連携を行っているサイトやサービスにおいてパスワードが流出したという事実は検知されていないという。

　セブンネットショッピングでは対策として、「いつもの注文」画面の脆弱性を修正したほか、ログイン認証を強化した。「いつもの注文」では一部プログラムに不具合があることが調査で判明、この脆弱性を悪用してクレジットカード情報が閲覧された可能性があるため、発見された7月26日時点で即日改修を実施。また、ログイン印象では第三者からの機械的な不正アクセスを防ぐためにログイン時のパスワード入力を複数回誤った場合の認証方式として、画像文字を入力する方式を追加した。

　カード番号を閲覧された可能性のあるクレジットカードについては、クレジットカード会社の協力により、不正使用モニタリングを強化し、悪用防止措置を行っているという。

　個人情報を不正に閲覧された可能性があるユーザーには、セブンネットショッピングに登録したメールアドレス宛てにメールを配信して告知を行ったほか、専用の問い合わせ窓口を設置した。

　同社では、引き続き原因の徹底究明をするとともに、第三者セキュリティ専門会社と連携してシステムのセキュリティの強化を行い、全社を挙げて再発防止に取り組んでいくとしている。