国内で個人情報が流出する事故が相次いでいる。セキュリティコードも含めたクレジットカード情報が流出したケースもある。
■SOKAオンラインストア、個人情報約18万件流出の可能性、カード情報も
聖教新聞社(本社:東京都新宿区)は9月4日、同社が運営する「SOKAオンラインストア」から顧客のクレジットカード情報が流出した可能性があると発表、10月10日には個人情報も流出したおそれがあると発表した。同社によると、同ストアの運営は委託先のトランスコスモス(本社:東京都渋谷区)が行っている。トランスコスモスが契約しているサーバーに7月30日、不正ファイルが混入され、プログラムが改ざんされた結果、顧客が商品を購入する際に偽のカード決済画面に遷移し、入力した情報が盗み取られる状態になっていた。また、データベースに不正にアクセスされ、個人情報を不正に取得された可能性があることも判明した。
対象となるカード情報は、今年7月30日から8月24日にカード決済で注文した顧客2481名のカード番号、名義、有効期限、セキュリティコード。個人情報は、サイトオープン(2014年10月1日)から今年8月24日までに会員登録をした顧客9万8852名、および会員登録をせずに商品を購入した顧客(電話注文も含む)と問い合わせフォームに入力をした顧客あわせて8万2848名の氏名、住所、電話番号、注文履歴、配送先の情報や、職業、メールアドレスなど。
・「SOKAオンラインストア」におけるクレジットカード情報ならびに個人情報
の不正取得に関するお詫び、調査結果について(SOKAオンラインストア)
https://www.sokaonlinestore.jp/?product_id=289
・「SOKAオンラインストア」調査結果について(10/10更新)(SEIKYO online)
https://www.seikyoonline.com/intro/information/oshirase.html
・「SOKAオンラインストア」におけるクレジットカード情報ならびに個人情報の不正取得に関するお詫び、調査結果について[PDF](トランスコスモス)
https://www.trans-cosmos.co.jp/company/news/pdf/2018/181009.pdf
■島田市、個人情報2446件流出の可能性
静岡県島田市は9月28日、市農林課が業務上使用を禁止されているフリーメールを使用していたところ、不正アクセスを受けて、個人情報2446件が流出した可能性があると発表した。市によると、同課では複数の職員が2015年10月7日から、当該フリーメールを使って、文書や写真データなどを課内の別の執務用パソコンに送付。うち一部に個人情報が含まれていた。同市では、個人情報を含む文書のメールによる送信を禁止している。
不正アクセスを警告するメールを受信したことから、9月18日に事態が発覚。国内や海外から不正アクセスを受けていたことが分かった。流出した可能性がある個人情報は氏名、住所、生年月日、電話番号などで、口座情報や免許証情報も一部含まれている。当該フリーメールには、容易に推測できるパスワードが設定されていたという。
・インターネットフリーメールへの不正アクセスによる個人情報の漏えいの可能性
について(島田市)
https://www.city.shimada.shizuoka.jp/kouhou/freemail.html
・インターネットフリーメールへの不正アクセスによる個人情報の漏えいの可能性
について[PDF](島田市)
https://www.city.shimada.shizuoka.jp/kouhou/documents/kishakaikensiryou1.pdf
■新潟大学、個人情報116件流出の可能性
新潟大学(本部・新潟市西区)は9月27日、教職員6名のメールアカウントが乗っ取られ、メールに含まれていた学内外関係者の個人情報116件が閲覧可能な状態だったことを明らかにした。同大学によると、4月から5月にかけて複数の教職員に同大学のメール管理者を装うフィッシングメールが送り付けられ、6名がアカウントを乗っ取られた。うち3名のメールボックス内にあったメールには個人情報が含まれており、これらが閲覧された可能性がある。
対象の個人情報は、学内関係者32名の氏名、役職、学年を含む名簿や、学内外関係者のメール送信者名、メールアドレス、役職名、電話番号などで、あわせて116件。この件ではほかに、乗っ取られたアカウントから約36万件の迷惑メールが送信されていたことが分かっている。
・新潟大学におけるフィッシングメール被害による情報漏洩の可能性及び迷惑メー
ル送信に関するお詫びについて(新潟大学)
https://www.niigata-u.ac.jp/news/2018/47488/
■CGソフトショップ「CG-iN」、顧客情報が流出
CGソフトなどを扱うオンラインストア「CG-iN」を運営するボーンデジタル(東京都千代田区)は9月25日、同ストアが不正アクセスを受け、顧客の個人情報が流出したと発表した。同社によると、流出したのは顧客の氏名、住所、電話番号、メールアドレスおよび購買履歴。調査を続けており、判明した事実はホームページ上で報告するという。同ストアは、サービスを一時的に停止している。
・不正アクセスによる個人情報漏えいのお詫び(ボーンデジタル)
https://notice.cgin.jp/
・不正アクセスによる個人情報漏えいのお詫び(CG-iN)(ボーンデジタル)
https://www.borndigital.co.jp/information/10943.html
■「smartWAONウェブサイト」、顧客情報流出の可能性
イオンマーケティング(千葉市美浜区)は9月15日、同社が運営する「smartWAONウェブサイト」で、リスト型攻撃によると思われる不正ログインにより、ワオンポイントが不正に別のカードへ移行されていたと発表。同21日には、顧客の個人情報が閲覧された可能性もあることを明らかにした。同社によると、9月10日に不正な操作が行われている可能性を確認。調査の結果、他のサイトから不正取得したメールアドレスとパスワードを流用した不正ログインが行われたことが判明した。顧客52名のポイントが不正に移動されたほか、一部顧客の個人情報が閲覧された可能性がある。
・「smartWAONウェブサイト」における不正ログインについてお詫びと調査結果のお
知らせ[PDF](イオンマーケティング)
https://www.aeonmarketing.co.jp/pdf/news_20180915.pdf
・「smartWAONウェブサイト」における不正ログインについて(イオンマーケティング)
https://www.smartwaon.com/pc/#/campaign/search/detail/9124
■アプラスカードの会員向けサイト、945名の顧客情報流出の可能性
アプラス(本店:大阪市浪速区)は8月24日、アプラスカード会員向けのサイト「NETstation*APLUS」でリスト型攻撃によると思われる不正ログインが確認されたと発表。同30日には、顧客945名のアカウントが不正にログインされたことを明らかにした。同社によると、不正ログインが行われたのは8月19日から24日かけての期間。945名の漢字氏名、939名のメールアドレス、最大で298名の口座情報(一部非表示)、12名の住所、電話番号、会員番号、7名の家族会員氏名が閲覧された可能性がある。クレジットカードの番号や有効期限、暗証番号は同サイトでは保有していないため、不正に閲覧されることはないという。
・アプラスカード会員様向けサイトに対する不正ログインにより一部のお客さま情
報が不正閲覧された件[PDF](アプラスフィナンシャル)
https://news.aplusfinancial.co.jp/news/down2.php?attach_id=1282
・アプラスカード会員様向けサイトに対する不正ログインとその対応について[PDF](アプラスフィナンシャル)
https://news.aplusfinancial.co.jp/news/down2.php?attach_id=1262
(2018/10/11 ネットセキュリティニュース)