「象印でショッピング」への不正アクセス、第三者調査機関による調査結果を発表（象印マホービン）

象印マホービンは2月3日、2019年12月5日に公表した同社のグループ会社である象印ユーサービス株式会社が運営する「象印でショッピング」への不正アクセスによる個人情報流出について、第三者機関による調査結果を発表した。

これは12月4日に、一部顧客から同社キャンペーンに乗じた不審メールが届いていると同社に問い合わせがあり、内部調査したところ、同サイトのシステムの一部の脆弱性を突いた第三者からの不正アクセスによる個人情報の流出と、流出した顧客のメールアドレスへの同社を装った偽装メールの送信による偽装サイトへの誘導について、第三者機関の調査結果と再発防止策を報告したもの。

調査結果によると不正アクセスによって流出したのは、2015年2月18日以降に「象印でショッピング」で商品購入した顧客最大270,589件の個人情報で必須入力項目の氏名、住所、注文内容、配送先情報、メールアドレス、電話番号に加え、任意入力の生年月日と性別が含まれる。

また12月4日、5日に、「shopmasterz@zojirushi.co.jp」から送信された同社を騙った偽装メールに記載された偽装サイトで窃取された可能性のある個人情報は、12月4日の偽装メールに関連するものは最大で延べ734件のカード情報（名義、番号、有効期限、セキュリティコード）とパスワードで、12月5日以降については不明。なお、12月5日に同社が第一報を報告した際に偽装メールについて注意喚起を行っているが、現時点でも同社または他社通販サイトを装った偽装メールの顧客への送信事例が発生している。

同社では対象の顧客に対し、メールでの情報流出の案内と同社または他社を装った偽装メールへの注意喚起の連絡を計3回、メール不達の顧客に対しては郵送での連絡を12月24日に行っており、さらに個人情報保護委員会への報告、警察当局への連絡と被害届提出に向けた相談、カード会社への第三者調査機関の調査結果の報告を行っている。

同社では、偽装された決済入力画面にパスワードを入力した顧客に対し、メールアドレスと当該パスワードの組み合わせで他のサービスに不正ログインされる恐れがあるため、パスワードの変更をするよう注意を呼びかけている。

同社では第三者機関の調査結果を踏まえ、再発防止策として異常を検知する監視機能の強化とシステムや情報へのアクセス制御の厳格化とID・パスワードの管理強化、不正プログラム感染防止対策の実施を2019年に実施済みで、1月23日には全公開サイトにEV-SSLの導入を完了、2月中には通信ネットワークの保護強化と改ざん検知・監視機能の強化を行う予定。また情報セキュリティ定着に向けた公的認証（ISMS）の取得も予定している。