マウスコンピューター、システム不備でほかの顧客の情報が閲覧可能な状態に

マウスコンピューターの発注状況確認システムに不備があり、3年以上にわたり、特定の操作を通じて顧客情報が閲覧可能な状態となっていた。

» 2007年03月06日 20時47分 公開
[ITmedia]

 マウスコンピューターは3月6日、同社の発注状況確認システムに不備があり、3年以上にわたり、特定の操作を通じて顧客情報が閲覧可能な状態になっていたことを明らかにした。

 同社はPC通販のダイレクトショップを運営しており、顧客向けにオーダーステータスシステム(発注状況確認システム)を提供してきた。このシステムに不備があり、特定の操作を行うと、購入者本人以外の顧客の発注内容を閲覧できる状態になっていたという。

 情報が閲覧可能な状態となっていたのは、2003年6月20日から2007年3月5日まで。同システムで表示される見積書に記載されていた氏名、住所、電話番号および配送先、最大10万6775件分の情報が、理論上は閲覧可能となっていた。ただし、ワンクリックで不特定多数のユーザーが情報を閲覧できたり、一覧として公開されていた状態ではないという。また、クレジットカード番号などの決済に関する情報は含まれていなかった。

 なお同社がアクセスログを調査した結果、複数の個人情報が抜き取られた事実は確認できなかった。

 今回の事態は、3月5日19時20分頃、マウスコンピューターのWebサイトでオーダーステータスシステムを利用した顧客から、「他人の見積情報にアクセスできる」と指摘されたことで判明した。その後、同日19時40分に同システムを閉鎖、セキュリティ対策を実施して同日21時10分に復旧したという。

 原因は、時期は不明だが、オーダーステータスシステムの変更にあるという。同社では2005年11月に全社的なセキュリティ対策を実施していたというが、システム変更作業の際に不備が発生。3月5日19時20分ごろに同システムを利用した顧客からの通報によって事態に気付き、システムを停止。調査のうえ同日21時10分より復旧した。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ