資生堂子会社に不正アクセス、個人情報42万人分が流出か:クレジットカード情報も約5万件流出の恐れ
大手化粧品メーカー、資生堂の子会社「イプサ」の公式オンラインショップに、不正アクセスがあったことが発覚。最大で約42万人分の個人情報と、約5万件のクレジットカード情報が流出した可能性がある。
大手化粧品メーカーの資生堂は12月2日、子会社の「イプサ」が運営する公式オンラインショップが外部から不正アクセスを受け、最大42万1313人分の個人情報および、最大5万6121件のクレジットカード情報が流出した可能性があると発表した。
2016年11月4日に、決済代行会社から「イプサの公式オンラインショップが攻撃を受け、クレジットカード情報が流出している可能性がある」と連絡を受け、情報漏えいが発覚。同日18時30分頃に、同サイトのクレジットカード決済を停止した。その後、対策本部の設置や、第三者機関への調査依頼、そして警察や経済産業省への報告を行ったという。
流出の可能性がある個人情報は、氏名、性別、生年月日、年齢、職業、電話番号、メールアドレス、住所、ログインパスワード、購入履歴で、イプサ公式オンラインショップに登録している全てのユーザーが対象となる。2011年12月14日〜2016年11月4日にクレジット決済を行ったユーザーについては、カード番号や名義、住所、有効期限も流出した可能性があるとしている。
同社は対象者に向けて12月2日から電子メールと郵送で連絡を開始し、電話相談窓口も開設した。流出した可能性があるクレジットカード番号については、イプサから各クレジットカード会社に提供し、不正利用取引の監視を行っているという。同サイトは現在休止中で、資生堂は「同サイトはグループの他の通販サイトと完全に分離したシステムで運営しており、資生堂グループのサイトは個人情報流出の対象ではない」としている。
攻撃を受けた理由については「システム上の脆弱性を突かれ不正アクセスを受けた」としているが、詳細な原因は現在調査中。社外の有識者を交えた調査を行い、2017年1月末をめどに調査報告書を開示する予定という。
関連記事
経団連にマルウェア「PlugX」「Elirks」が侵入、APT攻撃と判断
経団連の事務局コンピュータが外部と不正通信を行っていたことが判明し、調査からAPT(高度な標的型攻撃)と断定した。
パイプドビッツのECサイト基盤から個人情報流出、システムの設定不備でバックドア置かれる
パイプドビッツが運営するアパレル特化型ECプラットフォームへの不正アクセスで、利用者の個人情報が何者かにダウンロードされたことが判明。事態の経緯や原因などについて詳しい説明をしている。
大手旅行会社を攻撃した“遠隔操作マルウェア”が危険な理由
話題のマルウェア「PlugX」について、セキュリティベンダーのファイア・アイが解説。昨今は個人情報を狙う巧妙な標的型攻撃が増えており、それを100%防ぐ方法はないという。だからこそ、感染前提の対策が必要であると強調した。
JTB子会社へのサイバー攻撃、インシデント対応で分かったことは?
外部からの不正アクセスにより約793万人分の個人情報が漏えいした可能性がある。提携先のドコモユーザー33万人分の情報も含まれているという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.