セブンネットショッピングは23日、同社が運営する通販サイト「セブンネットショッピング」にて、なりすましによる不正ログインが発生した可能性があることを発表した。これにより、最大150,165件のクレジットカード情報が不正に閲覧された恐れがあるという。

セブンネットショッピングによる告知文(一部)

不正アクセスの発生期間は2013年4月17日から同年7月26日まで。外部から流出したと思われるID・パスワードを利用したなりすまし攻撃で、同サイトの会員サービス「いつもの注文」で発生していた不具合のある画面から、クレジットカード情報が閲覧されたという。

第三者による閲覧の可能性がある個人情報は、「いつもの注文」にクレジットカード情報を登録しているユーザーで最大150,165件。なお、「e.デパート」「ネットスーパー」「セブンミール」「アカチャンホンポ」「チケットぴあ」「トラベル」の会員として登録された情報は対象外。

閲覧された可能性のある項目は、ユーザーの商品届け先住所、氏名、電話番号、クレジットカード番号、カード有効期限。セキュリティコードの流出はない。

同社では2013年6月に、クレジットカード会社から情報流出懸念の連絡があったため、セキュリティ専門外社の協力のもと調査してきたという。同社からIDやパスワードが流出した事実は検知されていないとする。

今回発生したなりすまし不正アクセスの対策として、同サイトの「いつもの注文」画面で発見された不具合を7月26日に修正。また、カード番号を閲覧された可能性のあるクレジットカードは、各クレジットカード会社で不正使用モニタリングを強化し、悪用防止措置を行う。ログイン時のパスワード入力を複数回誤った場合には、画像認証方式も導入した。

このほか、情報を不正閲覧された可能性のあるユーザーには、個別にメールで連絡するほか、被害IDかどうかの確認ツールを導入。また、専用の問い合わせ窓口を設置する。

同社はユーザーに多大な迷惑と心配をかけ深くお詫びするとしたほか、第三者のセキュリティ専門外社と連携し「セキュリティを強化していく」という。