「セシール」に不正アクセス 161万円分の不正注文 個人情報流出の可能性も

[ITmedia]

セシールのオンラインショップトップページ

　ディノス・セシールは7月16日、同社のオンラインショップ「セシール」が不正アクセスを受け、計約161万5000円分の不正受注があったと発表した。配送の差し止めなどで実被害は約55万7000円に抑え、顧客の被害は同社が補てんした。不正ログインにより、「セシール」と「ディノス」合計最大で152人分の個人情報が流出した可能性もあるという。

　セシールで13日午後5時過ぎ、4人の顧客名義を利用したカード決済で、同じ届け先に商品をギフト配送するという不審な注文を発見。調査したところ、不正アクセスによる不正受注と判明した。

　ほかにも不審な注文がないか確認したところ、15日夕方までに合わせて10件の不正受注を発見。被害額は10件合計で約161万5000円に上ったが、配送の差し止めなどを行い、実被害は3件・約55万7000円に抑えた。不正受注被害にあったユーザー10人を含む14人のメールアドレスが改ざんされていたほか、1人は自宅住所も改ざんされていた。

　経緯を調査したところ、計18のIPアドレスから計151人のアカウントに不正ログインがあったことが発覚。ディノスでも同じIPアドレスからの不正ログインを確認したところ、1件発覚した。不正ログイン時に使われたIDとパスワードは同社から流出したものではなく、第三者が外部で不正取得したものとみている。

　不正ログインによってユーザー情報が閲覧され、流出した可能性もあるという。氏名のみ流出した可能性がある顧客はセシールが127人・ディノスが1人、氏名、住所、自宅電話、生年月日、性別などのうち複数の項目が流出した可能性がある顧客は、セシールの24人（不正受注被害を受けた10人を含む）。流出した可能性がある情報に、クレジットカード番号などは含まれていない。

　対策として、情報が流出した可能性があるセシールの顧客のオンラインショップへのログインと登録クレジットカードの利用を停止したほか、被害にあった顧客に連絡し、必要に応じて新たな顧客番号による再登録などを行った。不正ログインが行われた特定IPアドレスからのアクセス監視も強化。警察に相談し、今後の対応を協議している。