個人情報65万件流出の恐れ、ECサイト「ナチュラム」に不正アクセス

[ITmedia]

　ミネルヴァ・ホールディングスは8月6日、子会社ナチュラム・イーコマースのECサイト「アウトドア＆フィッシングナチュラム」に不正アクセスがあり、クレジットカード番号8万6169件を含む個人情報65万3424件が流出した可能性があると発表した。

　流出した可能性があるのは、同サイトのほか携帯サイト「ナチュラムモバイルショップ」、ブログ「blog＠naturum」のユーザーが登録した個人情報。

　登録時の必須項目はユーザーIDとパスワード、氏名、メールアドレスで、任意項目は住所、生年月日、携帯電話番号、電話番号、FAX番号、カード名義、カード有効期限、カード番号（下4ケタは保持していない）など。

　メンテナンス用サーバに海外から不正アクセスがあり、同サーバを経由してWebサーバに不正アクセス用プログラムが設置され、この不正プログラムによって情報が閲覧されたとみられる。SQLインジェクション攻撃を足がかりとして侵入された可能性が高いという。

　7月9日、クレジットカード会社から「カード情報流出の可能性がある」と連絡を受けて判明した。10日にセキュリティ専門会社による調査を始め、不正アクセスの可能性があるルートを全て遮断した。18日に個人情報が流出した可能性がある顧客の特定作業を始め、8月6日にメールで知らせた。

　同社は「多大なるご迷惑、ご心配をおかけいたしましたことを深くお詫び申し上げます」と謝罪。24時間体制の不正アクセス監視や不正アクセス対策の強化などをすでに完了したといい、「現在は安心してご利用いただける環境にある」としている。