三越伊勢丹ホールディングスは8月5日、グループが運営するオンラインサイト「三越伊勢丹オンラインストア」と子会社エムアイカードのホームページに、海外のIPアドレスからの不正アクセスを受けたと発表した。
不正にログインされ、一部会員については会員情報が閲覧された可能性があることが発覚した。今回の不正ログインの手法は、他社サービスから流出した可能性のあるユーザ ID・パスワードを利用した「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われていると推測されるという。
7月6日~8月3日、三越伊勢丹オンラインストアは、1万5336件の不正ログインが発生し、氏名・住所・電話番号・メールアドレス・生年月日などが閲覧された可能性がある。
エムアイカードホームページは、3583件の不正ログインがあり、会員氏名・請求予定額・現在の保有ポイントなどが閲覧された可能性がある。
現時点では、情報更新・不正利用など情報参照以外の被害は確認されていない。
不正ログインの対象顧客には、8月5日中に個別にメールで連絡の上、パスワードの変更をお願いしている。
セキュリティ強化のためのシステム対策として、不正ログインが試行されたIPアドレスからのアクセスを遮断するとともに、新規セキュリティ機器の導入と既存セキュリティ機器のチューニングを実施しセキュリティ対策を強化した。
また、不正アクセスについて、警察への相談、第三者機関を入れた対応を進めている。
