森永乳業の通販サイト 最大3万人のカード情報流出、旧サーバーにぜい弱性、不正利用2千万円に
2018年 6月 7日 10:26
森永乳業は6月4日、同社の「健康食品通販サイト」から流出した個人情報は、最大で約9万3000人分になると発表した。このうち、クレジットカード情報が流出したのは最大2万9773人、カード情報以外の個人情報のみが流出した恐れがあるのは最大で6万3049人。また、現時点で約300件、約2千万円分の不正利用被害が発生していることから、顧客に補償する方針。
同社では5月9日、カード情報流出の恐れがあるとして第三者調査機関に調査を委託したことを公表していた。流出したカード情報は、番号、名義、有効期限。セキュリティーコードは含まれていない。また、カード情報以外の個人情報は、氏名、住所、電話番号、ファクス番号、メールアドレス、性別、職業、生年月日、配送先、受注情報。
当該通販サイトでは昨年10月16日にサーバーの入れ替えを実施。今年6月の割賦販売法改正を見据え、通販サイトにおけるカード情報の非保持化対応を目的としたものだった。入れ替え後の現行サーバーには不正アクセスによる情報流出の痕跡やぜい弱性はなかったが、旧サーバーのバックアップデータを調査したところ、旧サーバーのぜい弱性を悪用して不正アクセスが行われた可能性が認められた。ぜい弱性の内容については「非開示」(広報部)としている。
旧サーバーに関しては、2012年のサイト立ち上げ後、14年に安全性を高めるために入れ替えを実施。その後、17年3月のぜい弱性診断でぜい弱性が発覚、修正していたものの、今回悪用された恐れがある、別のぜい弱性は発見できなかったという。
カード情報を含む個人情報が流出した恐れがあるのは、15年1月7日~昨年10月16日の期間にカード情報を入力して商品を購入した顧客。カード情報以外の個人情報が流出した恐れがあるのは、12年1月22日~昨年10月16日に商品を購入した顧客(15年1月7日~昨年10月16日にカードで購入した顧客は除く)。今回の調査では、不正アクセスによる情報流出の有無を含めて範囲を特定することが難しかったため、サイト開設からサーバー入れ替えまでに登録した顧客が対象となる。
同社では5月9日から、その時点で情報流出の恐れがあった、昨年1月10日~今年4月24日の期間にカードで購入した顧客約2万3000名に、メールと書面で連絡。6月4日からは対象となる顧客にメールと書面で順次知らせる。カードの再発行に関わる手数料は同社が負担する。
現行サイトについては、今回の調査でぜい弱性について問題がないことが確認されているものの、ぜい弱性診断の頻度を高めるなど、さらなるセキュリティー強化策を実施した上でカード決済を再開するとしている。
