お知らせ2018年3月7日
このエントリーをはてなブックマークに追加

弊社「ノジマオンライン」へのなりすましによるログインと対応完了報告について

 弊社通販サイト「ノジマオンライン」において、外部で不正に取得されたと思われるメールアドレス・パスワードを使った「なりすまし」によるアクセスがあり、第三者によって、お客様情報が一部改ざんや閲覧された可能性、ならびに不正注文等が行われたことが判明しました。
 本件につきまして下記の通りご報告申し上げます。

1.概要

(1)経緯

  • 本件は、ご登録情報の変更に気付かれたお客様より2018年2月10日ご連絡をいただき判明いたしました。
  • ご連絡を受けて弊社にて調査を行ったところ、2018年2月6日から2月10日にかけて、ご連絡をいただいたお客様以外の複数のアカウントでも、国外のIPアドレスより、外部で不正に取得されたと思われるメールアドレス、パスワードを使った「なりすまし」によるアクセスおよびお客様パスワードの変更が認識されました。
    ※この時点では、なりすまし注文は確認されておりません。
  • 同様の被害を防ぐため、上記に該当するお客様については2月10日にパスワードをリセットすることで、攻撃者からのログインができない様な処置を取った上で、サイト等での注意喚起およびパスワード再設定のご連絡をさせて頂きました。
  • その後、2月23日から25日にかけて、再度、なりすましによるアクセスと注文が確認されたため、上記と同様に該当するお客様のパスワードをリセットするとともに、サイト等での注意喚起およびパスワード再設定の通知をさせていただいております。
  • また、上記に並行して過去に遡り、2月10日以前に同様の事案がなかったかについての調査を2月27日までに完了しておりますが、その結果、1月15日から18日にかけても同様のアクセスを確認されたため、該当するお客様のパスワードをリセットするとともに、メールでの注意喚起およびパスワード再設定の通知をさせていただいております。

 

(2)被害状況

 現在確認されている被害は下記の通りです

  • 被害アカウント数 7アカウント
  • 被害受注数 20件
  • 被害金額 2,378,171円(全てキャンセル済み)

 また、なりすましによる注文の決済は、ログイン後の画面で、記憶させているクレジットカード情報を利用して注文を進めておりました。(お客様の任意でカード情報を記録できる仕様ですが、カード番号等の表示はされません)
なお、なりすましによる注文は、注文時、又は出荷時にすべて弊社でキャンセルをしております。

 

(3)第三者による閲覧の可能性がある個人情報について

お客様の住所、氏名、電話番号、生年月日、性別
※クレジットカード番号等の情報は非保持の為、閲覧されておりません。

2.現時点で実施している対策

(1)強度の低いパスワードを設定できない様変更
(2)クレジットカード情報の非保持化
(3)機械的なアクセスを防ぐプログラムのリリース
※(1)については2016年より導入済みです。(2)については2017年より導入済みです。

3.今後の対応策

 弊社では本件を受け、第三者セキュリティ専門会社等と連携し、画像認証など機械的なアクセスを防ぐなど、更なるセキュリティシステムの強化を行うことで、再発防止とお客様にご安心してご利用いただける環境の実現に努めてまいります。

以上

 

<本件に関するお客様からのお問い合わせ先>
ノジマオンライン お客様窓口
045-228-1614

<本件に関する報道機関からのお問い合わせ先>
人事総務部 総務グループ 田中
お問い合わせ窓口 URL:
http://www.nojima.co.jp/
corporation/massmedia/