Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

セブンネットに不正アクセス、カード情報15万件漏洩か - 不正ログイン後に脆弱性を攻撃

セブンネットショッピングが不正アクセスを受け、クレジットカード情報が外部へ漏洩した可能性があることがわかった。パスワードリスト攻撃で不正ログインされた状態から脆弱性が突かれ、カード情報が奪われたと見られている。

20131023sn_001.jpg
不正アクセスを受けたセブンネットショッピング

同社によれば、攻撃を受けたのは、同サイトにおいて注文方法を事前に登録できる「いつもの注文」。「e.デパート」「ネットスーパー」「セブンミール」「アカチャンホンポ」「チケットぴあ」「トラベル」などの会員については影響を受けないとしている。

4月17日から7月26日にかけて不正アクセスがあり、クレジットカード情報など最大15万165件の個人情報が閲覧されたという。氏名、住所、電話番号のほか、クレジットカードのカード番号、有効期限が含まれる。

6月以降、クレジットカード会社から同社に対してクレジットカード情報が流出した可能性について指摘があり、外部専門家の協力のもと調査を実施したところ、不正アクセスが判明した。

攻撃の手口は、第三者が利用者になりすまし、「いつもの注文」へ不正にログイン。さらに同サイトの一部プログラムに存在する脆弱性を攻撃し、クレジットカード情報を入手したと見られている。

同社は、今回不正ログインに利用されたIDやパスワードについて、同社経由の漏洩を否定。他サービスで取得されたIDやパスワードが用いられた可能性があると説明している。

同社では、脆弱性を把握した7月26日に修正を実施。数回にわたりログインを失敗した場合、画像を識別するCAPTCHA認証を追加するよう改修した。また個人情報を閲覧された可能性がある利用者に対し、メールで事情の説明を行っている。

(Security NEXT - 2013/10/23 ) このエントリーをはてなブックマークに追加

PR

関連記事

電子書籍作成サービスに不正アクセス、作品が改ざん - ロールバックで一部データが消失
カード会員向けサイトにPWリスト攻撃、アカウント945件がログイン許す - アプラス
四国電力の会員サービスに不正ログイン - 149人でポイント交換被害
メールアカウントが不正アクセス被害、スパムの踏み台に - システム開発会社
不正アクセスで不祥事対応の内部情報が流出 - 高知県立大
不正アクセスによる情報流出、件数を訂正 - 日本がん治療認定医機構
排卵検査薬の通販サイトに不正アクセス - 情報流出の可能性
アサヒ軽金属のネットショップに不正アクセス - 最大7.7万件のクレカ情報が流出か
不正プログラムが設置、カード情報が外部流出 - 衣料品通販サイト
職員と部署のメールアカウントに不正アクセス、メール漏洩やスパム送信など - 明大