全1614文字
PR

著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。

 今回は、3件のトピックを取り上げる。ECサイトから個人情報流出が相次いだ件と、ロゴヴィスタの個人情報流出、仙台銀行のスマートフォンアプリの不具合である。

1つのサービスへの不正アクセスが複数のECサイトに影響

 2021年9月16日から17日にかけて、不正アクセスによってECサイト利用者の個人情報が流出した可能性があるという、ECサイト運営企業からの発表が相次いだ。発表を確認できたのは、サミットと天満屋ストア、丸久、マルヨシセンター、グラントマト、リウボウストアの6社。いずれもジーアールが提供するECサイト構築サービスを利用しているか、ジーアールや東芝テックにECサイトの運用を委託していたとしている。

ECサイト委託先への不正アクセスによる個人情報流出に関するおわび
ECサイト委託先への不正アクセスによる個人情報流出に関するおわび
(出所:サミット)

 サミットは9月16日、同社のECサイト「サミット予約ネット」の制作・運用委託先であるジーアールと東芝テックに不正アクセスがあり、利用者の個人情報が流出した可能性があると発表した。委託先のサーバーに脆弱性があり、これを悪用されてサーバーに悪性プログラムを設置されたことが原因だとした。同様のサービスを利用する複数の小売業者においてクレジットカードの不正利用の懸念があると、ジーアールと東芝テックから9月4日に連絡を受けて事態を把握したという。

 この件に関連して、ジーアールと東芝テックもそれぞれ、9月16日に不正アクセス被害を公表した。ジーアールは、同社のECサイト構築サービス「オムニECシステム」の利用者からサービスの障害について9月1日に問い合わせがあり、調査した結果、個人情報が流出した可能性を示す痕跡を発見したと説明した。不正アクセスの原因についてはこの発表の中で説明していない。

ECサイト構築サービス「オムニECシステム」への不正アクセス発生について
ECサイト構築サービス「オムニECシステム」への不正アクセス発生について
(出所:ジーアール)
[画像のクリックで拡大表示]

 一方の東芝テックは、同社が取り扱うジーアールのサービスに不正アクセスが発生したとして顧客に謝罪した。なお、この不正アクセスによる同社の他のシステムへの影響はないとしている。

ジーアールが運営するサービスへの不正アクセスについて
ジーアールが運営するサービスへの不正アクセスについて
(出所:東芝テック)

サミットの発表資料

天満屋ストアの発表資料

丸久の発表資料

マルヨシセンターの発表資料

グラントマトの発表資料

リウボウストアの発表資料

ジーアールの発表資料

東芝テックの発表資料