Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

セブンネットに不正アクセス、カード情報15万件漏洩か - 不正ログイン後に脆弱性を攻撃

セブンネットショッピングが不正アクセスを受け、クレジットカード情報が外部へ漏洩した可能性があることがわかった。パスワードリスト攻撃で不正ログインされた状態から脆弱性が突かれ、カード情報が奪われたと見られている。

20131023sn_001.jpg
不正アクセスを受けたセブンネットショッピング

同社によれば、攻撃を受けたのは、同サイトにおいて注文方法を事前に登録できる「いつもの注文」。「e.デパート」「ネットスーパー」「セブンミール」「アカチャンホンポ」「チケットぴあ」「トラベル」などの会員については影響を受けないとしている。

4月17日から7月26日にかけて不正アクセスがあり、クレジットカード情報など最大15万165件の個人情報が閲覧されたという。氏名、住所、電話番号のほか、クレジットカードのカード番号、有効期限が含まれる。

6月以降、クレジットカード会社から同社に対してクレジットカード情報が流出した可能性について指摘があり、外部専門家の協力のもと調査を実施したところ、不正アクセスが判明した。

攻撃の手口は、第三者が利用者になりすまし、「いつもの注文」へ不正にログイン。さらに同サイトの一部プログラムに存在する脆弱性を攻撃し、クレジットカード情報を入手したと見られている。

同社は、今回不正ログインに利用されたIDやパスワードについて、同社経由の漏洩を否定。他サービスで取得されたIDやパスワードが用いられた可能性があると説明している。

同社では、脆弱性を把握した7月26日に修正を実施。数回にわたりログインを失敗した場合、画像を識別するCAPTCHA認証を追加するよう改修した。また個人情報を閲覧された可能性がある利用者に対し、メールで事情の説明を行っている。

(Security NEXT - 2013/10/23 ) このエントリーをはてなブックマークに追加

PR

関連記事

動物病院向け受付システムに不正アクセス - サービスが停止
サイバー攻撃でシステム障害 - 富士経済グループ
会議室予約システムに不正アクセス、予約者情報流出の可能性 - 慶大
日産証券、情報流出を最優先で調査 - サービス再開時期は慎重に判断
金融機関向けASPサービスに不正アクセス - トレードワークス
不正アクセスによる障害で3サービスを当面停止 - 日産証券
関西エアポート関連サイトに不正アクセス - 個人情報流出の可能性
サーバに不正アクセス、一部ゲームデータが被害 - タイトー
ファイル送受信機器にゼロデイ攻撃、情報流出の可能性 - 内閣府
通販サイト「ゆとりの空間」、クレカ情報も被害