Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

オークファン子会社のB2B卸サイトに不正アクセス – 会員情報最大13万件が流出した可能性

オークファン子会社のNETSEAが運営するB2B向け卸売りサイトが不正アクセスを受け、クレジットカード情報7386件を含む会員情報最大13万1464件が外部へ流出した可能性があることがわかった。

不正アクセスを受けた「NETSEA」
不正アクセスを受けた「NETSEA」

サプライヤーやバイヤーが参加できるB2B向けのマーケットプレイスサイト「NETSEA(ネッシー)」が、不正アクセスを受けたもの。ウェブサーバの脆弱性が突かれたもので、2015年4月1日から2016年4月15日までの間に会員登録した最大13万1464件分の顧客情報が流出した可能性がある。氏名や住所、電話番号、メールアドレス、ログインID、パスワードが含まれる。

さらに、2016年1月1日から4月15日にかけてクレジットカードを登録した顧客に関しては、クレジットカードの番号、名義、有効期限、セキュリティコードなど7386件についても流出したおそれがある。流出した情報の特定については、困難としている。

NETSEAによれば、4月4日に決済代行会社から、顧客のクレジットカードが不正利用された疑いがあると連絡を受けていたという。同社では外部業者へ調査を依頼。同社の独自調査によりサーバの脆弱性を確認、修正したのは同月15日だった。また同月18日にはカード決済機能を停止。調査会社より同月21日に最終報告を受けている。

同社では、対象となる顧客へ4月27日にメールで連絡。パスワードの変更などを実施するよう呼びかけた。また更新パッチを適用し、不正アクセスの原因となった脆弱性を修正したと説明。脆弱性対策として、バグ報奨金サイト「BugBounty.jp」に参加、報告に対して最高30万円の報奨金を支払う方針だという。

カード決済システムについては、指定のセキュリティ基準を満たすようすでに改修したとしているが、クレジットカード決済については、カード会社と合意のもと再開するとしている。

(Security NEXT - 2016/04/28 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

米信用機関で個人情報1.4億件が流出 - 便乗フィッシング攻撃に懸念
茶類の通販サイトでクレカ情報流出の可能性 - 「Magento」の脆弱性突かれる
ECサイトのASPサービスに不正アクセス - 複数サイト顧客のクレカ情報が流出
不正アクセス被害の「B.LEAGUE」、4カ月ぶりにクレカ決済を再開
マネースクウェア・ジャパン、顧客情報約11万件の流出を確認
庁内システムへの不正アクセスなどで職員を処分 - 新潟県
関東財務局、顧客情報流出でM2Jに行政処分 - 新規口座開設を当面停止
M2J、顧客情報約2500件の流出が判明 - 1年前にも顧客情報約11万件が不正アクセスを受けた可能性
ソフバンテク、内部でマルウェア感染を確認 - 取引先情報含むサーバへ不正アクセス
投資情報サイトに不正アクセス、クレカ情報が流出か - 公表中止で混乱も