セブンネットショッピングで不正ログイン、カード情報約15万件が閲覧の恐れ：脆弱性も一因

「セブンネットショッピング」が外部からの不正ログインを受けた。クレジットカード情報を含む顧客の個人情報が、最大で15万165件、第三者に閲覧された可能性がある。

[高橋睦美，＠IT]

　セブンネットショッピングは2013年10月23日、同社が運営するオンラインショッピングサイト「セブンネットショッピング」が外部からの不正ログインを受けたことを明らかにした。クレジットカード情報を含む顧客の個人情報が、最大で15万165件、第三者に閲覧された可能性があるという。

　不正ログインが発生したのは4月17日から7月26日にかけて。外部から不正に取得したと思われるIDとパスワードを用いて、サイトへのなりすましアクセスが試みられた。この結果、会員サービス「いつもの注文」にクレジットカード情報を登録していた顧客の届け先の氏名、住所、電話番号、クレジットカード番号と有効期限が不正に閲覧された恐れがある。

　同社はプレスリリースの中で、クレジットカード情報が閲覧された要因の1つとして、「いつもの注文」画面に存在していた脆弱性を挙げている。「クロスサイトスクリプティングなどではないが、セキュリティに関係する事柄のため、詳細は明らかにしていない」（セブン＆アイ・ホールディングス 広報）。不正ログインの試行回数／成功率も明らかにはしていない。

　セブンネットショッピングが不正ログインの発生に気付いたのは6月。クレジットカード情報が流出した可能性について、クレジットカード会社から問い合わせがあったことを機に、情報セキュリティ専門会社の協力を得て調査を開始したところ、不正ログインが発生していたことが判明した。ただし、同社からID／パスワード情報が流出した事実は確認されていないという。

　同社は、個人情報を不正に閲覧された可能性がある顧客にはメールで個別に通知するとともに、問い合わせ窓口を設け、ている。また、機械的な不正アクセスを困難にするため、認証に複数回失敗した際に画像文字を入力する方式を追加したほか、クレジットカード会社の協力を得て、不正使用モニタリングの強化を図っているという。

　2013年以降、パスワードを使い回しているユーザーを狙ったリスト型攻撃がたびたび発生し、複数のオンラインサービスで不正ログインの被害が発生している。