- 元記事:弊社「セシールオンラインショップ」への不正アクセスとお客様情報流出の可能性に関するお詫びとお知らせ
- 元記事:弊社「セシールオンラインショップ」への不正アクセスとお客様情報流出の可能性に関するお詫びとお知らせ [第 2 報]
- 元記事:弊社「セシールオンラインショップ」への不正アクセスとお客様情報流出の可能性に関する調査結果のお知らせ
- HP:ディノス・セシール
| 会社名 | 株式会社ディノス・セシール |
|---|---|
| 株式情報 | 非上場 |
| 漏洩種別 | 流出 |
| 漏洩対象 | Web |
| 漏洩場所 | 社外 |
| 漏洩内容 | 氏名/メールアドレス/パスワード |
| 漏洩件数 | 490件 |
| 漏洩日時 | 2018/6/2 |
| 発表日時 | 2018/6/8 |
ディノス・セシールにて不正アクセスにより個人情報が流出。同社が運営する「セシールオンラインショップ」にて不正に入手したと考えられるIDとパスワードを使用したなりすましによる不正アクセスを受け、不正ログインされた顧客の個人情報が流出した。
1938件の不正アクセスが確認され、そのうち490件のログインが成功。また1938件のメールアドレスは全て同サイトに登録している顧客IDと一致していることが判明した。アクセスログを確認したところ、不正なアクセスログは検知できず、第三者機関の調査の結果、同サイトに登録しているメールアドレスの流出ではなく、外部から不正入手したメールアドレスにおいて、同サイトの二重に会員登録が出来ない機能を悪用した手法であり、6月2日に中国の国内の201個のIPアドレスから、165,038件の新規顧客申請があり、そのうち登録済であったメールアドレスを、さらに外部から不正入手したパスワードにて不正ログインを試行しと考えられる。
しかし1939件の一致が確認されていることから、事前に何らかの形で流出した可能性が高く、現在も調査中である。同社は当該顧客にお詫びと説明及びログイン機能の停止の措置を行い、全ての顧客に対し、IDとパスワード管理の徹底の依頼を行った。
同社のオンラインショップにてなりすましによる不正アクセスが発生した件で、同社は外部機関に依頼した調査が終了したとして調査報告を公開した。調査の結果、中国からの複数のIPアドレスからメールアドレスやパスワードを使用した不正アクセスが1,938件発生し、そのアクセスログから、同社の新規顧客登録申請時の二重登録防止機能を悪用したリストのスクリーニングによるものであることが判明した。手法としては外部から不正入手したメールアドレスで同社サイトにて新規顧客登録申請を行い、登録済みと確認できたメールアドレスリストを生成して外部から不正入手したパスワードにより不正ログインを試行するという手法であることが明らかになった。同社は、不正ログインをされた顧客に連絡し、注意喚起の連絡を行った。(2018年7月6日追加)