KDDI(本社:東京都千代田区)は1日、運営するショッピングサイトが一時、顧客情報が閲覧できる状態に陥ったことを明らかにした。不具合が発生した6月30日に注文の受付を停止して7月1日中に対処を実行し、同2日には注文受付を再開している。
この不具合は、同社の携帯電話ブランド「iida」のストラップなど関連商品を購入できる「iidaショッピング」で、6月30日午前11時に発生。午前11時30分に、顧客から「他の顧客の情報が閲覧できる」という連絡を受けて事態が発覚した。連絡をしてきた顧客によると、当該サイトで商品を購入しようとした際に、「注文内容確認画面」で、他の顧客の情報が閲覧できたという。
同社は同日午後12時44分に注文受付を停止して調査を行ない、翌7月1日、他の顧客情報の閲覧が可能だったことを確認した。他の顧客に情報が閲覧された可能性のある顧客は266件で、他の顧客の情報が閲覧できた可能性のある顧客は 107件だったという。後者の107件は、前者の266件に含まれる。
閲覧できた顧客情報の内容は、当該サイトで商品を注文した顧客の住所、氏名、電話番号、注文商品の情報、支払方法など。クレジットカード番号、有効期限等の与信情報は表示されていない。
原因は、同サイトにアクセスと注文が集中してサーバーの負荷が高まった結果、システムプログラムのミスが顕在化したためという。不具合が発生した6月30日午前11時は、「iidaショッピング」で INFOBAR A01 関連商品の販売を開始した時間だった。
同社は、該当顧客に対し、書面等で状況を説明し、お詫びをしている。
(2011/07/05 ネットセキュリティニュース)
【関連URL】
・「iidaショッピング」におけるお客さま情報閲覧の不具合について[pdf](KDDI)
http://www.kddi.com/corporate/news_release/2011/0701a/pdf/index.pdf