セブン&アイグループでネット通販を手がけるセブンネットショッピング(東京都千代田区)は2013年10月23日、外部から不正アクセス攻撃を受けたため、個人情報を不正に閲覧された可能性があると発表した。「いつもの注文」機能に登録されたクレジットカード情報のうち、最大で15万165件が閲覧された可能性があるという。
同社の説明によれば、不正アクセスの発生期間は4月17日から7月26日。6月以降にクレジットカード会社から連絡を受け、セキュリティ専門会社の協力を得て内部調査を進めてきた。その結果、第三者が他のインターネットサービスなどから不正に取得したID・パスワードを悪用してセブンネットの利用者になりすまして不正アクセスし、クレジットカード情報を閲覧した可能性があるという。
不正アクセスされた項目は、氏名・住所・電話番号とクレジットカード番号・有効期限。自分のIDが不正閲覧された可能性があるかどうかは、同社のWebサイトで確認できる。
対象利用者は、「いつもの注文」機能にクレジットカード情報を登録している利用者の一部。同社が運営する「e.デパート」「ネットスーパー」「セブンミール」「アカチャンホンポ」「チケットぴあ」「トラベル」の会員は対象外だという。
不正アクセスの直接的な原因は、「いつもの注文」画面のプログラムの一部にクレジットカード情報を容易に閲覧できてしまう不具合(脆弱性)があったことである。これについては、7月26日に改修を完了したという。さらに、画像文字入力による認証を導入しログイン認証を強化した。閲覧された可能性があるクレジットカード情報については、クレジットカード会社の協力を得て悪用防止のための監視を強化したという。
セブンネットは、「事態を厳粛に受け止め、原因の徹底究明と全社を挙げての再発防止に取り組み、今後同様の事態により再びお客様にご迷惑をおかけすることのないようにいたします」としている。
本件に関する問い合わせ窓口は「セブンネットショッピング特設センター」で、電話番号は0120-051-116(受付時間:9:00~20:00、土日祝も受け付ける)。
