「オムニECシステム」専用サーバーの脆弱性を悪用した不正アクセスが発生

　調べによると、スーパー業態の小売店などに広く利用されているオムニチャネル対応のECパッケージシステム「オムニECシステム」の専用サーバーに脆弱性があり、これを悪用して不正にアクセスされ、悪性プログラムが設置されたことによるものと判明。（株）ジーアールが運営し、東芝テック（株）が販売元で、被害はシステムを利用する複数事業者に及んでいる。

　9月1日にクレジットカード会社から、サイトを利用した顧客のカード情報の流出懸念について連絡があり、確認したところ不正アクセスのおそれが判明した。同日中にサイトのサービスを停止し、第三者調査機関による調査を開始。10月13日に調査が完了し、その結果、4月26日から8月19日までにサイトで購入した一部の顧客のクレジットカード情報と、過去に注文した顧客の個人情報が流出した可能性があることを確認した。

ベイシアアプリ・ポイントカード・タッチdeデリカは別システム

　ベイシアによると、ECサイトは管理を委託しており、同社ではクレジットカード情報を保有していない。現在、サイトは停止しており、外部からのアクセスはすべて遮断する対策を施している。独自のベイシアアプリ、ベイシアポイントカード、タッチdeデリカは、別のシステムを使用しているため、今回の個人情報流出には含まれないという。

　情報流出の可能性があるのは、4月26日～8月19日に、ECサイトでクレジットカード番号を入力した3101件をはじめ、13年10月1日～21年4月26日に、サイトで会員登録をした顧客3万9101件、13年10月1日～21年8月6日に、会員登録をせずにゲスト購入した顧客2万1340件、同時期に予約カタログ注文で店頭受取した顧客19万3766件に上る。

カード情報やセキュリティコードなども流出の可能性

　また、流出した可能性のある情報は、期間中にECサイトでクレジットカード番号を入力した顧客は、カード番号や有効期限、セキュリティコードとともに、メールアドレスや氏名、郵便番号、住所、高度に暗号化されたパスワード、電話番号、生年月日、性別、職業、購入・支払に関する履歴など。会員登録者と非登録者も、カード情報以外の個人情報が対象となっている。

　不正アクセスについては、個人情報保護委員会に9月22日に、所轄警察署には9月 3日に状況を報告しているが、対象の顧客には11月1日からメールで連絡を始めた。クレジッ トカード会社などと協議の上、第三者調査会社の調査結果を待ち、カード会社などとの連携を確保した上で公表することしたとしている。

　同社は事態を厳粛に受けとめ、システムのセキュリティ対策と監視体制を強化し、再発防止を図る方針。外部機関による安全性が確認できてからサイトの運用を再開する。

　「オムニECシステム」を利用していた事業者の個人情報流出事故は、同社の発表前にも複数確認されていた。個人情報流出の疑いがある件数は確認できたもので10万件以上に上り、今回の件を合わせると35万件以上の大規模事故となった。