楽天株式会社の子会社であるスタイライフ株式会社は、ファッションECサイト「Stylife」において、外部からなりすましによる不正なアクセスがあり、第三者が一部の顧客のクレジットカード情報を不正に閲覧した可能性があると発表した。

発表によると、同社は2014年1月10日にクレジットカード会社から、同サイトの利用者のクレジットカード情報の流出の懸念について連絡を受け、セキュリティ専門組織の協力のもとに調査を開始した。

調査の結果、第三者が同サイト以外の外部で不正に取得したと思われるID・パスワードを利用してログインを試行し、同サイトの会員になりすまして「マイページ」に不正にアクセスして、登録されたクレジットカード情報を閲覧した可能性があることが判明した。なお、同社からIDやパスワードが流出したという事実は検知されていないという。また、楽天会員ID・パスワードによる不正アクセスも認められなかった。

不正アクセスが確認された期間は2013年9月1日～2014年1月14日で、対象となるのはStylife ID（2013年9月17日より新規登録廃止）を利用して同サイトを利用した顧客のうち、クレジットカード情報を「マイページ」に登録している顧客の一部。閲覧された可能性のある顧客情報は、マイページに登録されているクレジットカード情報（カード番号、カード名義、カード有効期限）。件数は最大で24,158件。

同社はセキュリティ専門組織の協力のもと、システムの抜本的見直しを行ったところ、同件不正アクセス発生時、「マイページ」画面に第三者からのアクセスがあった場合に、当該画面からクレジットカード情報を閲覧された可能性があった。この状況は調査の過程で発見されて、1月14日に画面の改修を完了した。また、不正アクセス元の疑いがあるIPアドレスから同サイトへのアクセスも遮断した。さらに、同サイトへの不正なログイン試行を検知できるように監視体制を強化した。

このほか、カード番号を閲覧された可能性のあるクレジットカードについて不正使用のモニタリングを依頼したほか、対象となる会員に対して1月22日にメールを配信して同件について報告し、パスワードの変更を依頼するとともに、クレジットカードの不正利用があった場合はカード発行会社に問い合わせるよう案内した。さらに顧客からの問い合わせ窓口も設置した。

同社は今回の事態について、再発防止に向けてセキュリティ環境を見直すとともに、セキュリティの強化および監視体制の強化に努めるとコメントしている。

発表資料
URL：http://corp.stylife.co.jp/news/R20140122.pdf
2014/01/29