弊社通販サイト「ノジマオンライン」において、外部で不正に取得されたと思われるメールアドレス・パスワードを使った「なりすまし」によるアクセスがあり、第三者によって、お客様情報が一部改ざんや閲覧された可能性、ならびに不正注文等が行われたことが判明しました。
　本件につきまして下記の通りご報告申し上げます。

記

１．概要

（１）経緯

• 本件は、ご登録情報の変更に気付かれたお客様より２０１８年２月１０日ご連絡をいただき判明いたしました。
• ご連絡を受けて弊社にて調査を行ったところ、２０１８年２月６日から２月１０日にかけて、ご連絡をいただいたお客様以外の複数のアカウントでも、国外のＩＰアドレスより、外部で不正に取得されたと思われるメールアドレス、パスワードを使った「なりすまし」によるアクセスおよびお客様パスワードの変更が認識されました。
  ※この時点では、なりすまし注文は確認されておりません。
• 同様の被害を防ぐため、上記に該当するお客様については２月１０日にパスワードをリセットすることで、攻撃者からのログインができない様な処置を取った上で、サイト等での注意喚起およびパスワード再設定のご連絡をさせて頂きました。
• その後、２月２３日から２５日にかけて、再度、なりすましによるアクセスと注文が確認されたため、上記と同様に該当するお客様のパスワードをリセットするとともに、サイト等での注意喚起およびパスワード再設定の通知をさせていただいております。
• また、上記に並行して過去に遡り、２月１０日以前に同様の事案がなかったかについての調査を２月２７日までに完了しておりますが、その結果、１月１５日から１８日にかけても同様のアクセスを確認されたため、該当するお客様のパスワードをリセットするとともに、メールでの注意喚起およびパスワード再設定の通知をさせていただいております。

（２）被害状況

　現在確認されている被害は下記の通りです

• 被害アカウント数　7アカウント
• 被害受注数　20件
• 被害金額　2,378,171円（全てキャンセル済み）

　また、なりすましによる注文の決済は、ログイン後の画面で、記憶させているクレジットカード情報を利用して注文を進めておりました。（お客様の任意でカード情報を記録できる仕様ですが、カード番号等の表示はされません）
なお、なりすましによる注文は、注文時、又は出荷時にすべて弊社でキャンセルをしております。

（３）第三者による閲覧の可能性がある個人情報について

お客様の住所、氏名、電話番号、生年月日、性別
※クレジットカード番号等の情報は非保持の為、閲覧されておりません。

２．現時点で実施している対策

（１）強度の低いパスワードを設定できない様変更
（２）クレジットカード情報の非保持化
（３）機械的なアクセスを防ぐプログラムのリリース
※（１）については2016年より導入済みです。（２）については2017年より導入済みです。

３．今後の対応策

　弊社では本件を受け、第三者セキュリティ専門会社等と連携し、画像認証など機械的なアクセスを防ぐなど、更なるセキュリティシステムの強化を行うことで、再発防止とお客様にご安心してご利用いただける環境の実現に努めてまいります。

以上

シェア

Tweet