楽天市場や楽天Edyに外部から不正アクセス 148万件強の個人情報流出の可能性

[田中聡，ITmedia]

　楽天、楽天カード、楽天Edyは、社外のクラウド型営業管理システムに、外部からアクセスがあったことを告知した。原因はセキュリティ設定の不備。

楽天の告知

　楽天では、楽天市場の法人向け資料請求者や店舗情報にアクセスされた可能性がある。期間は2016年1月15日から2020年11月24日まで。アクセスされた可能性のあったのは最大138万1735件、うち実際にアクセスが確認されたのが208件。

　楽天カードでは、事業者向けビジネスローンの申込者情報にアクセスされた可能性がある。期間は2016年1月15日から2020年11月26日まで。2013年4月1日から2020年7月18日までにWebサイトからビジネスローンに申し込んだ人が対象。アクセスされた可能性のあったのは最大1万5415件、うち実際にアクセスが確認されたのが304件。なお、楽天カード会員の情報は、別のシステムで管理しているため、外部からはアクセスされていない。

　楽天Edyでは、故障端末の残高移行サービスへの申込者情報にアクセスされた可能性がある。期間は2016年1月15日から2020年11月26日まで。対象となる申し込み時期は端末によって異なり、おサイフケータイ対応携帯電話が2010年10月1日から2019年3月4日まで、ドコモの「おサイフケータイ ジャケット01」が2014年10月30日から2020年11月18日まで、スマートウォッチ「wena wrist」が2016年3月24日から2020年11月18日まで。アクセスされた可能性のあったのは最大8万9141件、うち実際にアクセスが確認されたのが102件。

　2020年11月24日に、社外のセキュリティ専門家の指摘により、楽天側が保管している一部の情報が外部からアクセスできる状態であることが判明した。楽天は同システムの設定変更を11月26日までに完了。それ以降、外部からのアクセスは確認されていない。また、現時点で法人、個人の被害は確認されていない。

　情報が閲覧された可能性がある法人や個人には、被害に遭った際の問い合わせ先を案内していく。個人情報の悪用など実害を被った場合、誠意を持って対応するとしている。