ディノス・セシール／オンラインショップに不正アクセス

ディノス・セシールは7月16日、外部で不正に取得したと思われるID（メールアドレス）・PWを使った、第三者による自社通販サイトへの不正アクセスにより、顧客情報を悪用した不正受注被害が発生したと発表した。

不正アクセスの際、一部の顧客情報が改ざんされ、流出した可能性があることも判明した。

7月13日17時過ぎに、通販事業「セシール」において、不審な注文を発見し、詳細を確認したところ、セシールオンラインショップへの不正アクセスによる、商品の不正受注被害であることが判明した。

4人の顧客の名義を利用しカード決済で、同じ届け先に商品をギフト配送指定した事例を確認した。

他にも不審な注文がないかをチェックしたところ、15日夕方までに、合わせて不正受注は10件であることが判明。配送の差し止めなどの対応により、実際の被害は3件となった。

同時に、今回の不正アクセス時に使われたID（メールアドレス）・PWは社内での内部流出や、サイト攻撃によって取得されたものではなく、第三者が外部で不正に取得したと思われるID（メールアドレス）・PWを利用して、特定のIPアドレスから合計151人の顧客情報にアクセスしたことを確認した。

通販事業「ディノス」でも、同IPアドレスからの不正アクセスをチェックしたところ、1人の顧客情報にログインしたことを確認した。

不正受注被害が発生した顧客件数は、セシールで10人・161万5423円（税込）。ただ、顧客には実際に被害は発生せず、自社の実被害は3件・55万6972円となった。

個人情報が改ざんされた顧客件数は、セシールで、上記10人を含む14人。改ざんされた情報は、メールアドレスで、1人は自宅住所も改ざんされた。

そのほか、複数項目の顧客情報が流出した可能性がある顧客件数は、セシールの24人。流出した可能性のある項目は、顧客番号・氏名・住所（自宅・勤務先・その他届け先）・自宅電話・生年月日・性別。なお、顧客によって該当項目は異なる。

氏名のみ流出した可能性がある顧客件数は、セシール127人、ディノス1人。

現時点で、セシールの合計151人の顧客については、同様の被害を防ぐためオンラインショップへのログイン機能を停止した。

「セシール」オンラインショップでの登録クレジットカードの利用を停止。不正ログインが行われた特定IPアドレスからのアクセス監視強化した。

今回、不正アクセスの被害にあった顧客へ速やかな連絡をするともに、必要に応じて新たな顧客番号での再顧客登録を実施した。

両事業のオンラインショップでの不正アクセス発生による、全顧客への注意喚起掲出と所轄警察に対して相談・報告をし、今後の対応を協議しているという。

関連記事