会員専用WEBサービスへの不正アクセスは「OpenSSL」に存在する脆弱性を狙ったものであることが判明(三菱UFJニコス)
三菱UFJニコスは4月18日、会員専用WEBサービスへの不正アクセスに関して、詳細を発表した。「OpenSSL」に存在する脆弱性を狙ったものであることが明らかとなった。
インシデント・事故
インシデント・情報漏えい
同社では4月11日、不審なアクセスを検知し、「NEWS+PLUS」「MUFGカードWEBサービス」「DC Webサービス」などの、会員専用WEBサービスを停止。翌12日には再開したが、引き続き調査を行っていた。
その後、今回の不正アクセスが、「OpenSSL」の脆弱性『Heartbleed』を狙ったものであることが確定。今回、同社発行のクレジットカードを保持ししているWEB会員、延べ894名の登録情報が不正閲覧されたことが判明した。国内の不正アクセス事案で、「OpenSSL」に存在する脆弱性を狙ったものが公表されたのは、これが初となる。
不正閲覧された情報は、「カード番号(一部非表示)」「氏名」「生年月日」「住所」「電話番号」「eメールアドレス」「有効期限」「WEBサービス ID」「カード名称」「入会年月」「利用代金支払口座(金融機関名・支店名)」「勤め先名」「勤め先電話番号」など。
同社では、「カード番号」は一部非表示となっており、不正使用の可能性は「極めて低い」としている。また「カードの暗証番号」「WEBサービスログインパスワード」は不正閲覧されていないとのこと。現在、カード不正使用や個人情報悪用の被害は確認されていない。
OpenSSL脆弱性攻撃の被害、ついに現実に……三菱UFJニコス、会員894名の情報が漏えいか
《冨岡晶@RBB TODAY》
関連記事
この記事の写真
/
