セブン&アイ ホールディングス傘下のセブンネットショッピングは10月23日、なりすましによる不正アクセスを受け、最大で15万165件のクレジットカード情報が閲覧された可能性があると発表した。なお、同社によるIDやパスワードの流出は確認されていない。

同社が事態を把握したのは6月。クレジットカード会社から、クレジットカード情報が流出している恐れがあるとの連絡を受け、情報セキュリティ専門会社の協力を得て調査を開始した。

調査の結果、第三者が他のWebサービスから不正に取得したIDやパスワードを利用して会員サービス情報に不正アクセスを行っていたことが明らかになったという。不正アクセスを受けていた期間は4月17日~7月26日。

第三者が閲覧した可能性のある個人情報は、セブンネットショッピング会員サービス「いつもの注文」利用者の「クレジットカード情報(番号、有効期限)」「届け先氏名」「住所」「電話番号」。なお、クレジットカードのセキュリティコードについては、同社で保持していないため閲覧されていない。

セブンネットショッピング会員サービスの「e.デパート」「ネットスーパー」「セブンミール」「アカチャンホンポ」「チケットぴあ」「トラベル」の会員として登録されている情報については閲覧されていない。

被害に遭ったアカウントの確認は、「ログインページ」でログインすることで確認できる。

セブンショッピングは現在、不正アクセスへの対策を強化している。クレジットカード情報を閲覧された要因の1つとして「いつもの注文」ページに脆弱性があったとしており、7月26日時点でサイトの改修を行っている。

また、第三者からの機械的な不正アクセスを防御するために、ログインパスワードの入力が複数回失敗した場合に、画像文字の入力を促す方式を導入した。

ほかにもクレジットカードの悪用防止策として、各クレジットカード会社の協力のもと、不正使用モニタリングを強化したという。

なお、個人情報を不正に閲覧された可能性があるユーザーには、個別で登録メールアドレスに連絡を行ったほか、専用の問い合わせ窓口を設置している。

セブンネットショッピングは「このたびの事態を厳粛に受け止め、全社を挙げて再発防止に取り組む」としている。