Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

セブンネットに不正アクセス、カード情報15万件漏洩か - 不正ログイン後に脆弱性を攻撃

セブンネットショッピングが不正アクセスを受け、クレジットカード情報が外部へ漏洩した可能性があることがわかった。パスワードリスト攻撃で不正ログインされた状態から脆弱性が突かれ、カード情報が奪われたと見られている。

20131023sn_001.jpg
不正アクセスを受けたセブンネットショッピング

同社によれば、攻撃を受けたのは、同サイトにおいて注文方法を事前に登録できる「いつもの注文」。「e.デパート」「ネットスーパー」「セブンミール」「アカチャンホンポ」「チケットぴあ」「トラベル」などの会員については影響を受けないとしている。

4月17日から7月26日にかけて不正アクセスがあり、クレジットカード情報など最大15万165件の個人情報が閲覧されたという。氏名、住所、電話番号のほか、クレジットカードのカード番号、有効期限が含まれる。

6月以降、クレジットカード会社から同社に対してクレジットカード情報が流出した可能性について指摘があり、外部専門家の協力のもと調査を実施したところ、不正アクセスが判明した。

攻撃の手口は、第三者が利用者になりすまし、「いつもの注文」へ不正にログイン。さらに同サイトの一部プログラムに存在する脆弱性を攻撃し、クレジットカード情報を入手したと見られている。

同社は、今回不正ログインに利用されたIDやパスワードについて、同社経由の漏洩を否定。他サービスで取得されたIDやパスワードが用いられた可能性があると説明している。

同社では、脆弱性を把握した7月26日に修正を実施。数回にわたりログインを失敗した場合、画像を識別するCAPTCHA認証を追加するよう改修した。また個人情報を閲覧された可能性がある利用者に対し、メールで事情の説明を行っている。

(Security NEXT - 2013/10/23 ) このエントリーをはてなブックマークに追加

PR

関連記事

サイト改ざんが判明、外部へ誘導される状態に - 知多半島ケーブルネットワーク
仮想通貨取引所ZaifのAPIキーに不正アクセス - 不正な取引や引出が発生
インテリア通販サイトに不正アクセス - クレカなど個人情報が流出
EGセキュアら、「無線LAN脆弱性診断サービス」を提供開始
九州商船の予約サイトに不正アクセス、会員情報流出の可能性 - 不正ファイルが設置され外部通信
「ヤマケイオンライン」への不正アクセス、一部個人情報の流出を確認
東京海上日動子会社の代理店に不正アクセス - メールボックス内の個人情報などが流出
調理酢の販売サイトに不正アクセス - クレカ情報など流出か
CMS利用のサイトが改ざん被害、外部サイトへ誘導- 医療専門学校
登山情報サイトに不正アクセス - 会員へのフィッシングメールから判明