Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

セブンネットに不正アクセス、カード情報15万件漏洩か - 不正ログイン後に脆弱性を攻撃

セブンネットショッピングが不正アクセスを受け、クレジットカード情報が外部へ漏洩した可能性があることがわかった。パスワードリスト攻撃で不正ログインされた状態から脆弱性が突かれ、カード情報が奪われたと見られている。

20131023sn_001.jpg
不正アクセスを受けたセブンネットショッピング

同社によれば、攻撃を受けたのは、同サイトにおいて注文方法を事前に登録できる「いつもの注文」。「e.デパート」「ネットスーパー」「セブンミール」「アカチャンホンポ」「チケットぴあ」「トラベル」などの会員については影響を受けないとしている。

4月17日から7月26日にかけて不正アクセスがあり、クレジットカード情報など最大15万165件の個人情報が閲覧されたという。氏名、住所、電話番号のほか、クレジットカードのカード番号、有効期限が含まれる。

6月以降、クレジットカード会社から同社に対してクレジットカード情報が流出した可能性について指摘があり、外部専門家の協力のもと調査を実施したところ、不正アクセスが判明した。

攻撃の手口は、第三者が利用者になりすまし、「いつもの注文」へ不正にログイン。さらに同サイトの一部プログラムに存在する脆弱性を攻撃し、クレジットカード情報を入手したと見られている。

同社は、今回不正ログインに利用されたIDやパスワードについて、同社経由の漏洩を否定。他サービスで取得されたIDやパスワードが用いられた可能性があると説明している。

同社では、脆弱性を把握した7月26日に修正を実施。数回にわたりログインを失敗した場合、画像を識別するCAPTCHA認証を追加するよう改修した。また個人情報を閲覧された可能性がある利用者に対し、メールで事情の説明を行っている。

(Security NEXT - 2013/10/23 ) このエントリーをはてなブックマークに追加

PR

関連記事

サイト改ざんで別サイトへ誘導 - 聖マリアンナ医科大東横病院
JRA海外駐在員事務所でフィッシング被害 - メールボックスに不正アクセス
カーシェア利用者情報に不正アクセス - 開発引継時に不備
米子会社にサイバー攻撃、情報流出の可能性 - パイロット
サポート詐欺被害でイベント参加者名簿が流出の可能性 - 山口市
総務省、LINEヤフーに行政指導 - 「電気通信事業全体の信頼を損なった」
学生服通販サイトの旧サイトに不正アクセス - クレカ情報流出の可能性
「日経SDGsフェス公式」のXアカウントが乗っ取り被害
なかほら牧場の通販サイトに不正アクセス - 個人情報流出の可能性
テスト用アカウントに不正アクセス、スパム踏み台に - 出水市