象印ECサイトで個人情報28万件以上が流出 クレジットカード情報の不正利用のおそれも
象印マホービン株式会社は同社グループ会社が運営する「『象印でショッピング』への不正アクセスによる個人情報流出に関するお詫びとお知らせ」を発出した。
個人情報、最大280,052件が流出
象印マホービンのグループ会社である象印ユーサービス株式会社が運営する部品・消耗品販売サイト「象印でショッピング」において、第三者による不正アクセスを受け、当該サイト内でユーザーの個人情報である「顧客名・住所・注文内容(商品・金額等)・配送先情報・メールアドレス等(最大280,052件)が流出
したことを公表した。なお同社はアナウンスにおいてクレジットカード情報は含まれていないとしている。
その一方で流出したメールアドレスに不審なメールが送信され、メール内に記載の偽装サイトへアクセスされた一部のユーザーがクレジットカード情報を入力したことで、クレジットカード情報が不正に盗取された可能性があることも判明しているともしている。
個人情報流出の経緯
同社がまとめている今回発生した個人情報流出の経緯は次の通りだ。
◆経緯
2019年12月4日18:00頃、一部のユーザーより、同社キャンペーンに乗じた不審なメールが届いているとの問い合わせを受け、内部調査の結果、第三者による不正アクセス並びに個人情報が漏洩していることが発覚。
同社グループ会社が運営する「象印でショッピング」を2019年12月4日21:00より停止した。当該、個人情報流出に関する情報発出時点においてもサービスは停止中。また、この件について第三者調査機関による調査を実施し、根本的な対策を行っていくとしている。正式な公表については、第三者調査機関の結果を待って実施する予定だとしている。
◆状況
1)原因
社内調査の結果、「象印でショッピング」システムの一部の脆弱性をついたことによる第三者の不正アクセスにより個人情報の抜き出しが行われていた。
2)流出した恐れのある個人情報
「象印でショッピング」にてご購入をされていたユーザーの情報。顧客名、住所、注文内容(商品、金額等)、配送先情報、メールアドレス 等。
※クレジットカード情報は含まれていないとしている。
3)偽装サイトへの誘導メールについて
2019年12月4日に以下のような件名メールが流出したメールアドレスに送信され、メール内のリンクより偽装サイトにアクセスし、クレジットカード情報を入力されたユーザーについてはクレジットカード情報が盗取された可能性があるとしている。
メール件名:
「〇〇〇〇(お客様のお名前) おめでとうございます!オリジナルQUOカード キャンペーン実施中!」
送信元アドレス:
shopmaster@zojirushi.co.jp
4)偽装サイトで盗取された可能性のある情報
①クレジットカード情報
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
(これら4つの情報を以下「カード情報」といいます)
②その他情報
偽装サイトでユーザーが入力したパスワード
クレジットカードの不正利用について注意喚起
同社は今回の件について「お客様へのお願い」として次のように情報を発出している。
「お客様におかれましては、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認ください。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、お願い申し上げます。 また、偽装された決済入力情報画面においてパスワードを入力された方は、メールアドレスと当該パスワードの組み合わせで他のサービスにログインされ悪用される恐れがございますので、パスワードの変更を併せてお願い申し上げます」
また同社は「再発防止策および運営するサイトの再開について」として次のように述べている。
「弊社は今回の事態を厳粛に受け止め、他の個人情報を保持するシステムの脆弱性を調査するとともに、第三者調査機関の調査結果を踏まえて、システムのセキュリティ対策および監視体制ならびにリスクマネジメント体制の強化を行い、再発防止を図ってまいります。 また、万全を期しお客様にご安心してご利用頂けるよう、現在当該サイトの全てのサービスを停止し刷新作業を進めてまいります。 刷新後の「象印でショッピング」のサービス再開日につきましては、改めて、象印マホービンコーポレートサイト上にて、お知らせさせていただきます」
さらに関係先への報告にいては次の通りだ。
「弊社は、本件につきまして、関係先に対して以下のとおり報告を行う予定です。(1)監督官庁に対しての報告(2)警察当局、個人情報保護委員会に対して報告および相談(3)クレジットカード会社に第三者調査機関の調査結果を報告のうえ、不正利用の防止のため盗取された可能性のあるすべてのカード情報のモニタリング強化を依頼」
近年、ECサイトをはじめとして各種ネットサービスからの個人情報の流出事件が相次いでいる。その中でも不正な攻撃によるものが後を絶たず、今回は象印ECサイトがそのターゲットとなった形だ。
サービス運営側としてはこうしたサイトやメールを偽装した攻撃へのシステムと運用上のさらなる防護策を講じることが求められるだろう。一方で、運営側の対策だけではこうした「標的型攻撃」と呼ばれるメールを偽装した形での手口は完全には防ぎきれない面もある。ユーザーとしても不審なメールが来た場合は、URLをみだりにクリックしない、送信元のメールアドレスを確認するなどの対策も必要となってきそうだ。
記者プロフィール
ECのミカタ編集部
ECのミカタ編集部。素敵なJ-POP流れるオフィスにタイピング音をひたすら響かせる。
日々、EC業界に貢献すべく勉強と努力を惜しまないアツいライターや記者が集う場所。
