これを受け、セブンネットショッピングでは、『いつもの注文』と呼ばれるサービスに登録している１５６万人の会員に対して、情報が流出したおそれがあると、メールで詫びねとともに、念のため会員番号に当たるＩＤや暗証番号を変更するよう呼びかけており、対応については「原因の徹底究明と全社を挙げての再発防止に取り組みたい」としている。

なぜ、今頃発表するのだろう、これまで長きに渡り不正アクセスを認知していなかったのだろうか。セキュリティに関し、コストをケチったのか大変お粗末君だ。

＜リリース文＞

更新日：2013年10月23日

なりすましによる不正アクセスのお知らせとお詫び

株式会社セブンネットショッピング
代表取締役社長　鈴　木　康　弘

 

この度、弊社が運営する「セブンネットショッピング（http://www.7netshopping.jp/all/）」（以下、「本サイト」といいます）におきまして、外部からなりすましによる不正なアクセスがあり、第三者にお客様の一部の個人情報を不正に閲覧された可能性があることが判明いたしました。 本件不正アクセスに関する概要と対応について下記のとおりご報告いたしますとともに、お客様に対し、多大なるご迷惑およびご心配をお掛けする事態に至りましたことを深くお詫び申し上げます。

記

1.不正アクセスの概要

（1）経緯

弊社は、2013年6月以降、クレジットカード会社からクレジットカード情報の流出懸念について連絡があったことから、情報セキュリティ専門会社の協力のもと調査を行ってまいりました。

調査の結果、第三者が外部インターネットサービス等から不正に取得したID、パスワードを使用してお客様になりすまし、本サイトの会員サービス情報に不正にアクセスし、登録されたクレジットカード情報を含む一部のお客様の個人情報を閲覧した可能性があることが判明いたしました。

なお、調査の結果、弊社からIDやパスワードが流出したという事実は検知されていません。

 

（2）第三者による閲覧の可能性がある個人情報について

＜対象＞

セブンネットショッピングの会員サービス「いつもの注文」にクレジットカード情報を登録されているお客様の一部。

なお、「e.デパート」、「ネットスーパー」、「セブンミール」、「アカチャンホンポ」、「チケットぴあ」、「トラベル」の会員として登録された情報は、対象外となります。

 

＜件数＞

本件不正アクセスにより閲覧された可能性のあるクレジットカード情報は、本サイト「いつもの注文」に登録されたクレジットカード情報のうち、最大で150,165件であることが弊社アクセスログにより確認されております。

 

＜不正アクセスの発生期間＞

2013年4月17日から同年7月26日まで

 

＜対象項目＞

・お届け先の氏名、住所、電話番号の情報

・クレジットカード情報（(1)カード番号、(2)カード有効期限）

※セキュリティコードについては、弊社は保持していないため、不正閲覧はされておりません。

 

2.現時点で実施している対策

（1）本サイト上の「いつもの注文」画面の脆弱性の修正

本件不正アクセス発生時、本サイト「いつもの注文」の一部のプログラムに不具合があり、不正アクセス者に、当該不具合のある画面からクレジットカード情報が閲覧された可能性があります。当該不具合は、本件調査の過程で発見された7月26日時点で即日改修を完了いたしました。

 

（2）ログイン認証の強化

第三者からの機械的な不正アクセスを防御するため、ログイン時のパスワード入力を複数回誤った場合の認証方式として、画像文字を入力する方式を追加いたしました。

 

（3）クレジットカードの悪用防止策

カード番号を閲覧された可能性のあるクレジットカードについては、各クレジットカード会社の協力により、不正使用モニタリングを強化し、悪用防止措置を行っております。

 

（4）お客様への対応

個人情報を不正に閲覧された可能性があるお客様には、当社にご登録いただいているメールアドレス宛にメールを配信しご案内するとともに、お客様専用のお問い合わせ窓口を設置しております。

 

3. 今後の対応策

弊社は、この度の事態を厳粛に受け止め、原因の徹底究明と全社を挙げての再発防止に取り組み、今後同様の事態により再びお客様にご迷惑をおかけすることのないようにいたします。

また、第三者セキュリティ専門会社と連携し、システムのセキュリティを更に強化してまいります。

 

＜本件に関するお問い合わせ窓口＞

セブンネットショッピング特設センター：0120-051-116

（受付時間：9：00～20：00　 土日祝も受け付けております。）