8月6日、3万6000件を超える顧客データの外部流出が明らかになった楽天で、この6、7月の2カ月だけで38件もの不正アクセスを受けていた可能性が高いことが本誌の取材で明らかになった。

 これらのアクセスによって、3000件を超える個人情報がダウンロードされている。現時点では、これらのアクセスと、一連の顧客データ外部流出との関連は明らかになっていないが、楽天の情報管理体制が改めて問われることになりそうだ。

 関係者の話によると、7月23日に発覚した楽天の加盟店AMC(運営会社:センターロード)の顧客データの流出を受けて、楽天がサーバーのアクセス記録を調査したところ、楽天及び加盟店のどちらにも属していない端末から顧客データがダウンロードされた記録が見つかった。 

 楽天では、加盟店向けシステムにアクセスする時と、購入者データをダウンロードする時の2回、IDとパスワードの入力を求めるシステムを採用していた。今回、確認したアクセス記録はデータをダウンロードする際に使用するサーバーのもの。

 所属先が不明の端末からのアクセスは、加盟店のIDとパスワードを利用して行われたもので、6月で28回、7月で10回の計38回、累計で3306件のデータをダウンロードしていた。関係者によると、この件について楽天は、不正アクセスを受けた可能性が非常に高いと説明しているという。

 本誌の取材に対し、楽天広報部は「警察の捜査中なのでコメントできない」としている。加盟店AMC側では、「退職者が出るたびにID、パスワードは変更してきた。今でもID、パスワードを知っている人間も社内には4人しかいない。データのダウンロードは社内からに限定しており、(センターロードの)関係者がそういったアクセスを行う可能性は低い」と説明する。

 楽天では一連の顧客データ流出について「楽天内部でデータをダウンロードした痕跡はない」と説明してきたが、その調査過程で明らかになった不正アクセスの可能性が高いアクセスの存在については一切明らかにしていない。(詳報は日経パソコン8月22日号をご覧下さい)              (佐藤 新=日経パソコン)