会員専用WEBサービスへの不正アクセスは「OpenSSL」に存在する脆弱性を狙ったものであることが判明(三菱UFJニコス)

　三菱UFJニコスは4月18日、会員専用WEBサービスへの不正アクセスに関して、詳細を発表した。「OpenSSL」に存在する脆弱性を狙ったものであることが明らかとなった。

インシデント・事故インシデント・情報漏えい

2014.4.21 Mon 20:30

　三菱UFJニコスは18日、会員専用WEBサービスへの不正アクセスに関して、詳細を発表した。「OpenSSL」に存在する脆弱性を狙ったものであることが明らかとなった。

　同社では4月11日、不審なアクセスを検知し、「NEWS＋PLUS」「MUFGカードWEBサービス」「DC Webサービス」などの、会員専用WEBサービスを停止。翌12日には再開したが、引き続き調査を行っていた。

　その後、今回の不正アクセスが、「OpenSSL」の脆弱性『Heartbleed』を狙ったものであることが確定。今回、同社発行のクレジットカードを保持ししているWEB会員、延べ894名の登録情報が不正閲覧されたことが判明した。国内の不正アクセス事案で、「OpenSSL」に存在する脆弱性を狙ったものが公表されたのは、これが初となる。

　不正閲覧された情報は、「カード番号（一部非表示）」「氏名」「生年月日」「住所」「電話番号」「eメールアドレス」「有効期限」「WEBサービス ID」「カード名称」「入会年月」「利用代金支払口座（金融機関名・支店名）」「勤め先名」「勤め先電話番号」など。

　同社では、「カード番号」は一部非表示となっており、不正使用の可能性は「極めて低い」としている。また「カードの暗証番号」「WEBサービスログインパスワード」は不正閲覧されていないとのこと。現在、カード不正使用や個人情報悪用の被害は確認されていない。

OpenSSL脆弱性攻撃の被害、ついに現実に……三菱UFJニコス、会員894名の情報が漏えいか

《冨岡晶@RBB TODAY》