三菱UFJニコスは4月18日、のべ894人の個人情報が不正に閲覧されたと発表した。該当するのは同社発行(発行委託先を含む)のクレジットカードを保有するWeb会員の顧客で、既にメールや電話などで連絡対応しているという。
不正に閲覧された情報は、カード番号と氏名、住所、生年月日、電話番号、メールアドレス、有効期限、WebサービスのID、カード名称、加入年月、支払口座(金融機関名および支店名を含む)、勤務先名称とその電話番号。18日現在で不正利用や被害が確認されていないという。カード番号の一部は非表示のため不正利用される可能性は低いとし、Webサービスのパスワードは閲覧されていないとしている。
同社によると、原因はOpenSSLの脆弱性を突いた攻撃による不正アクセスという。4月11日の午前6時33分に不正アクセスを検知し、調査結果からOpenSSLの脆弱性を狙う不正アクセスだと特定。同日午後2時半に「NEWS+PLUS」などのWebサービスを停止させ、脆弱性を修正したOpesSSLに更新するなど対策を講じ、12日午前7時48分にサービスを再開していた。この間に情報が不正閲覧され、外部に漏えいした可能性もある。
同社では「ネット不正専門の対応チームを組成して再発防止に努める」と説明している。
OpenSSLの脆弱性をめぐっては、カナダ歳出庁や英国の育児情報サイトが被害を受けたことを明らかにし、カナダ歳出庁に対する攻撃では19歳の米国人男性が当局に逮捕されている。
Copyright © ITmedia, Inc. All Rights Reserved.