Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

セブンネットに不正アクセス、カード情報15万件漏洩か - 不正ログイン後に脆弱性を攻撃

セブンネットショッピングが不正アクセスを受け、クレジットカード情報が外部へ漏洩した可能性があることがわかった。パスワードリスト攻撃で不正ログインされた状態から脆弱性が突かれ、カード情報が奪われたと見られている。

20131023sn_001.jpg
不正アクセスを受けたセブンネットショッピング

同社によれば、攻撃を受けたのは、同サイトにおいて注文方法を事前に登録できる「いつもの注文」。「e.デパート」「ネットスーパー」「セブンミール」「アカチャンホンポ」「チケットぴあ」「トラベル」などの会員については影響を受けないとしている。

4月17日から7月26日にかけて不正アクセスがあり、クレジットカード情報など最大15万165件の個人情報が閲覧されたという。氏名、住所、電話番号のほか、クレジットカードのカード番号、有効期限が含まれる。

6月以降、クレジットカード会社から同社に対してクレジットカード情報が流出した可能性について指摘があり、外部専門家の協力のもと調査を実施したところ、不正アクセスが判明した。

攻撃の手口は、第三者が利用者になりすまし、「いつもの注文」へ不正にログイン。さらに同サイトの一部プログラムに存在する脆弱性を攻撃し、クレジットカード情報を入手したと見られている。

同社は、今回不正ログインに利用されたIDやパスワードについて、同社経由の漏洩を否定。他サービスで取得されたIDやパスワードが用いられた可能性があると説明している。

同社では、脆弱性を把握した7月26日に修正を実施。数回にわたりログインを失敗した場合、画像を識別するCAPTCHA認証を追加するよう改修した。また個人情報を閲覧された可能性がある利用者に対し、メールで事情の説明を行っている。

(Security NEXT - 2013/10/23 ) このエントリーをはてなブックマークに追加

PR

関連記事

ブラザー会員サイトで不正ログイン、P交換被害も - 3月末からアクセス急増
メールアカウントに不正アクセス、スパムの踏み台に - サエラ薬局
栃木の名産品通販サイトに不正アクセス - クレカ情報流出の可能性
スマホゲーム「イケメン戦国」でデータ破損 - 一時全データが確認不能に
サイバー攻撃の侵入経路、VPN脆弱性の可能性 - 日邦産業
スマホゲーム「イケメン戦国」で障害 - 不正アクセス原因か
園芸情報サイトが改ざん - 不正コードにより外部サイトへ誘導
不正アクセスでメアド流出の可能性 - 岡山県医師会
ヘルメットや安全標識を扱う2サイトに不正アクセス
化粧品通販サイトに不正アクセス - クレカ情報流出の可能性