日販グループ 不正アクセスにより情報漏洩

日販アイ・ピー・エスが運営する通販サイトが不正アクセスを受け、顧客の個人情報が漏洩したとのことです。

漏洩したWebサイトは以下です。


・同社が運営する海外在住者向けの通販サイト「CLUB JAPAN」
・雑誌の定期購読専門通販サイト「MagDeli」
上記どちらかに会員登録していたユーザー情報、最大13万1936件分。


【漏洩した概要】

(1)原因:当該サーバへの不正アクセス(SQL インジェクション)

(2)流出した時期:平成 28 年 12 月 23 日~27 日(延べ 5 日間)

(3)流出した範囲

① 「CLUB JAPAN」に登録していたユーザー情報

② 「MagDeli(マグデリ)」に登録していたユーザー情報

③ 「CLUB JAPAN」に登録していたアフィリエイト会員情報

【経緯】

同社のサービスを利用中のユーザー複数から、「CLUB JAPAN」および「MagDeli (マグデリ)」を装ったフィッシングメールが配信されているのではないかと連絡が入ったことにより発覚したとのことです。直ちに調査を開始した結果、不正アクセスによりユーザー情報が漏洩していることが判明しました。継続調査の結果、外部からの不正アクセスによる情報流出の可能性があるということで、 被害拡大防止、徹底調査のため「CLUB JAPAN」および「MagDeli(マグデリ)」の両サイトを閉鎖いたしました。


【漏洩した情報】

漏洩したとされる件数(最大値);131,936 件


① 「CLUB JAPAN」に登録していたユーザー(退会者様を含む)の 会員 ID、メールアドレス:115,590 件

※上記①のお客様のうち、ログインパスワード:38 件

※上記①のお客様のうち、クレジットカード情報(カード名義、カード番号、 有効期限):29 件

② 「MagDeli(マグデリ)」に登録していたユーザー(退会者様を含む) の会員 ID、メールアドレス:16,029 件

※上記②のうち、クレジットカード情報(カード名義、カード番号、 有効期限):1 件

③ 「CLUB JAPAN」アフィリエイト会員の皆様(退会者様を含む)の 会員 ID、ログインパスワード(秘密の質問と答えを含む)、氏名、性別、住 所、電話番号、口座情報、等の情報 :317 件

【対応】

同社によると、漏洩したユーザーについては各カード会社へ連絡し対応済とのことで、すでにカード会社による監視体制を敷いているとのことです。


【サイバーセキュリティソリューションズの見解】

今回はSQLインジェクションという攻撃手法だったことが判明しています。この攻撃はどんなものかというと一言でいうと、運営しているWebサイトの脆弱性をつき、サイト内に格納されているデータベースの情報を盗む攻撃のことです。Webサイトのサイバー攻撃の中でももっともポピュラーなものの一つです。逆に言えば基本的な対策で防ぐことができます。しかしまだまだこのようなセキュリティホールが放置されているサイトはたくさん存在します。理由は、サイバー攻撃の知識があるものからすれば一般的な手法でもないものからすれば、想像すらできないからと思います。これらを対策するには一度、専門家にWebサイトの脆弱性診断を受けることをお勧めします。弊社でもお受けできますのでお気軽にご相談ください。


詳細;日販アイ・ピー・エス

<