千趣会子会社に不正アクセス、乳児を含む個人情報が流出か
ベルネージュダイレクトが運営する出産内祝いギフトサイトに不正アクセスがあり、顧客情報やクレジットカード情報などが漏えいした可能性がある。
千趣会と同社子会社のベルネージュダイレクトは9月15日、ベルネージュダイレクトが運営する旧出産内祝いギフトサイトに不正アクセスがあり、顧客情報が漏えいした可能性があると発表した。想定漏えい規模は13万1096件で、同日時点のクレジットカード情報の悪用は確認されていないという。
2社によると、不正アクセスがあったのは「ベビパラハッピーギフト」「Pre-moギフト」「TOMATOMAギフト」「ベビパラギフト」の旧サイト。2012年9月20日から2015年8月26日までに各サイトで登録、注文した顧客が対象となる。漏えいした可能性のある情報は以下の通り。
- 顧客の名前(漢字およびフリガナ)、郵便番号、住所、電話番号
- メールアドレス
- パスワード
- クレジットカード情報(カード会員名、住所、カード番号、有効期限)
- 連名の名前(漢字およびフリガナ)
- 子どもの性別・生年月日・名前(漢字およびフリガナ)・体重
- 商品届け先の名前(漢字およびフリガナ)、郵便番号、住所、電話番号
漏えいした可能性のある13万1096件の情報のうち、サイト会員に関するものは2万1994件(クレジットカード情報を含むものは1万3713件)、ギフト送り先に関するものは11万564件。13万1096件に重複するギフト送り先に関する情報は含んでいない。
ベルネージュダイレクトは、2014年9月から同社で運営する「ベルネージュダイレクト ギフトオンラインショップ」が別システムで稼働しており、今回の不正アクセスの影響は受けていないと説明する。
不正アクセスは旧サイトの再委託先で8月21日に確認され、再委託先が第三者調査機関のPayment Card Forensicsに調査を依頼した。同月31日までに脆弱性対策を実施したほか、Payment Card Forensicsから情報漏えいの可能性があると指摘を受けて、9月3日に4サイトを閉鎖した。7日以降、漏えいの可能性がある顧客にメールで連絡し、関係機関と調整して15日に不正アクセスの事実を公表したとしている。
ベルネージュダイレクトでは8月31日からクレジットカード会社に不正使用などの監視強化を依頼しており、9月15日時点で被害報告はないという。2社では16日以降、対象顧客に郵送でも説明するとしている。
関連記事
- Bugzillaに不正アクセス、盗んだ情報をFirefox攻撃に利用
何者かが未解決の脆弱性情報をBugzillaから盗み出し、その情報をFirefoxユーザーに対する攻撃に利用したとみられることが分かった。 - 年金機構の情報漏えい、事故対応のミスで被害拡大と報告
調査報告ではセキュリティ担当者が標的型メール攻撃の可能性を感じながらも、組織的なインシデント対応が不十分だったことが被害拡大につながったと指摘している。 - シャトレーゼにSQLインジェクション攻撃、情報流出の疑い
Webサイトへの不正アクセスで約21万人分の会員情報が漏えいした可能性がある。 - タミヤに不正アクセス、最大10万人強の個人情報漏えいか
Webサイトへの不正アクセスが原因で、最大10万2891人分のアカウント情報などが漏えいした可能性があるという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.