B2Bの卸プラットフォームを展開するNETSEAが2016年4月27日、第三者による不正アクセスで個人情報を流出させたことが分かった。流出した情報は13万1464件で、うちクレジットカード情報は7386件に上る。オープンソースの暗号化ライブラリ「OpenSSL」の脆弱性「Heartbleed(ハートブリード)」を攻撃されたもようだ。

 流出した可能性のある個人情報は氏名、住所、電話番号、メールアドレス、ログイン会員IDおよびパスワード、クレジットカード情報。2015年1月1日~2016年4月15日までの間にNETSEAで会員情報を登録したユーザー、および2016年1月1日~2016年4月15日までの間にクレジットカードを登録したユーザーが対象だ。

 情報流出が発覚したのは2016年4月4日。決済代行会社からNETSEAで決済されたクレジットカードの情報を用いた不正利用された疑いがあると第一報が入った。翌4月5日には第三者調査機関としてPayment Card Forensics(PCF)への調査を依頼。並行して社内で調査を進めたところ、4月15日にサイト内に脆弱性を発見し、パッチを当てたという。4月21日にPCFから最終調査報告書が提出され、流出情報の範囲を特定した。

 現在、不正利用の防止を目的に、クレジットカード各社と流出した可能性のあるクレジットカードのモニタリングを継続的に実施。既に情報流出の可能性のあるユーザーに対して連絡し始めており、専用の問い合わせ窓口も開設した。

 NETSEAはオークファンが2015年7月1日にディー・エヌ・エー(DeNA)から買収した事業。ハートブリードは2014年4月に発覚した脆弱性のため、事業譲渡前から脆弱性を抱えていた可能性がある。