象印ECサイトから個人情報28万件流出、偽の当選通知を使ってカード情報を詐取

2019/12/06 12:00
金子 寛人=日経 xTECH/日経コンピュータ

 象印マホービンは2019年12月5日、ECサイト「象印でショッピング」に不正アクセスがあり、最大約28万件の個人情報が流出したと発表した。一部ユーザーにはキャンペーンを装って偽の決済ページに誘導する電子メールが届き、偽決済ページでクレジットカード情報を詐取されていたユーザーがいることも判明した。

 個人情報の流出が発覚したのは2019年12月4日午後7時ごろ。ユーザーから「象印のキャンペーンに乗じた不審なメールが届いている」との連絡を受け、システム部門が調査を開始。その結果、何者かがECサイトのサーバーの脆弱性を悪用して不正アクセスし、個人情報を抜き出していたことが判明した。さらに正規の決済画面とは別に、外部のサイトを使った偽の決済画面が生成されていたことが判明した。

 システム部門がログを解析したところ、前日の12月3日午後6時ごろに不正アクセスがあったとみられ「確定的な情報ではないが、この際に個人情報の抜き出しや決済画面の改ざんなどが行われたとみている」(象印マホービン広報)としている。脆弱性の種類など詳細な手口は「現時点で把握できていない。外部の調査機関の調査結果を待って正式に公表する」(同)とする。

 流出した可能性のある個人情報は2007年8月の「象印でショッピング」の開設以来、同サイトで商品を購入した28万52件のユーザーの名前、住所、注文した商品、配送先、メールアドレスなど。偽サイトで詐取された可能性のある情報はクレジットカードの名義、番号、有効期限、セキュリティーコード。

 SNSでは複数のユーザーが、象印を名乗る差出人から「3000円のQUOカードが当選した。配送には送料100円が必要」とするメールが届いたと書き込みをしている。「過去に炊飯器などを購入しユーザー登録した人に向けて類似のキャンペーンを展開したことがある。その際に使った画像などを悪用された可能性がある」(同)としている。

お知らせ

ピックアップPR

もっと見る

記事ランキング