『セブンネットショッピング』を運営する『株式会社セブンネットショッピング』が、他社サイトから流出し不正に入手されたID/パスワードを使った『なりすまし』によって、同社のサービス利用者のうち最大で約150,000件のアカウントで、クレジットカード番号を含む個人情報が流出したことを発表している。
株式会社セブンネットショッピングによる不正アクセス被害のお知らせは以下より。
この度、弊社が運営する「セブンネットショッピング(http://www.7netshopping.jp/all/)」(以下、「本サイト」といいます)におきまして、外部からなりすましによる不正なアクセスがあり、第三者にお客様の一部の個人情報を不正に閲覧された可能性があることが判明いたしました。
また、ID/パスワードについてはセブンネットショッピングから流出したものは無く、他社サイトから流出したものである。としている。
なお、調査の結果、弊社からIDやパスワードが流出したという事実は検知されていません。
個人情報流出の概要は以下。
■流出した情報
・配送先の氏名/住所/電話番号
・クレジットカード情報(カード番号&カード有効期限)
⇒セキュリティコードについては保存していないため、流出の対象外となる。
■被害件数
不正アクセスにより閲覧された可能性のあるクレジットカード情報(カード番号&有効期限)は、セブンネットショッピングの『いつもの注文』に登録されたカードのうち、最大で150,165件になる。
■不正アクセスの発生期間
2013年4月17日から7月26日まで
セブンネットショッピングでは、本件に関して調査を行っている際に発見された、『いつもの注文』画面に関する脆弱性を既に修正していることを合わせて発表している。
(1)本サイト上の「いつもの注文」画面の脆弱性の修正
本件不正アクセス発生時、本サイト「いつもの注文」の一部のプログラムに不具合があり、不正アクセス者に、当該不具合のある画面からクレジットカード情報が閲覧された可能性があります。当該不具合は、本件調査の過程で発見された7月26日時点で即日改修を完了いたしました。
前述の通り『なりすまし』に使われたID/パスワードは他社サイトで流出したものとはしながらも、セブンネットショッピングのプログラムにも脆弱性があり、結果として最大で15万件のクレジットカード情報の流出に繋がってしまった模様。
情報流出の対象となっているIDかどうかは、セブンネットショッピングのWebサイト(以下リンク)にて確認することが可能。
セブンネットショッピング – ログイン
※ログインして情報が表示されるものと思われる。
個人情報流出の対象となったユーザには個別にメールにて連絡を行う。とのことなので、連絡のあった方はクレジットカードの不正利用などにご注意を。