象印ECサイトから個人情報28万件流出、偽の当選通知を使ってカード情報を詐取 ― 2019年12月06日 00時00分00秒
象印ECサイトから個人情報28万件流出、偽の当選通知を使ってカード情報を詐取(日経 xTECH/日経コンピュータ)なのだそうだ。
【重要】個人情報流出についてのお知らせ(象印でショッピング) 弊社グループ会社が運営する「象印でショッピング」への不正アクセスによる 個人情報流出に関するお詫びとお知らせ参照。
象印マホービンは2019年12月5日、ECサイト「象印でショッピング」に不正アクセスがあり、最大約28万件の個人情報が流出したと発表した。一部ユーザーにはキャンペーンを装って偽の決済ページに誘導する電子メールが届き、偽決済ページでクレジットカード情報を詐取されていたユーザーがいることも判明した。
個人情報の流出が発覚したのは2019年12月4日午後7時ごろ。ユーザーから「象印のキャンペーンに乗じた不審なメールが届いている」との連絡を受け、システム部門が調査を開始。その結果、何者かがECサイトのサーバーの脆弱性を悪用して不正アクセスし、個人情報を抜き出していたことが判明した。さらに正規の決済画面とは別に、外部のサイトを使った偽の決済画面が生成されていたことが判明した。
システム部門がログを解析したところ、前日の12月3日午後6時ごろに不正アクセスがあったとみられ「確定的な情報ではないが、この際に個人情報の抜き出しや決済画面の改ざんなどが行われたとみている」(象印マホービン広報)としている。脆弱性の種類など詳細な手口は「現時点で把握できていない。外部の調査機関の調査結果を待って正式に公表する」(同)とする。
流出した可能性のある個人情報は2007年8月の「象印でショッピング」の開設以来、同サイトで商品を購入した28万52件のユーザーの名前、住所、注文した商品、配送先、メールアドレスなど。偽サイトで詐取された可能性のある情報はクレジットカードの名義、番号、有効期限、セキュリティーコード。
SNSでは複数のユーザーが、象印を名乗る差出人から「3000円のQUOカードが当選した。配送には送料100円が必要」とするメールが届いたと書き込みをしている。「過去に炊飯器などを購入しユーザー登録した人に向けて類似のキャンペーンを展開したことがある。その際に使った画像などを悪用された可能性がある」(同)としている。
運悪く、私は11月に家人の象印製水筒が壊れてカード決済で水筒の部品を買っている。それ以前にも水筒の部品を買ったことがあるような気がしたが、それは象印ではなくTHERMOS(旧日本酸素)だった。【追記】この象印の部品、ヨドバシカメラでは売ってなかったから象印のサイトで買ったんだよな。THERMOSのパーツはヨドバシドットコムやヨドバシカメラの実店舗で売っている。象印は色々とアレかもしれない。次はないな。【追記ここまで】
流出した可能性のあるのは「ユーザーの名前、住所、注文した商品、配送先、メールアドレスなど」だそうだ。うーん、厄介ですな。
カードの情報は、サイトでは記録していないはずなので、犯人は別途偽サイトを構築してカード情報を補完しようとしたのだろう。偽サイトで詐取された可能性のある情報は「クレジットカードの名義、番号、有効期限、セキュリティーコード」って全部やん。
私のところには「『3000円のQUOカードが当選した。配送には送料100円が必要』とするメール」は来ていない。不正アクセスが私が水筒部品を購入する前だといいんだけどなぁ。【追記】記事をよく読むと「システム部門がログを解析したところ、前日の12月3日午後6時ごろに不正アクセスがあったとみられ」とあるから、私が水筒部品を購入後ですなぁ。時期的にはアウトですなぁ。はぁ…。あと、スパムメールボックスも確認したが、フィッシングメールは届いていないようだ。【追記ここまで】
あと、象印からは今回の件では何のお知らせも来ていない。報道で知った次第。
【追記】午後10時過ぎに「【重要】個人情報流出についてのお知らせ(象印でショッピング)」というメールが「象印からのお知らせ shopinfo@zojirushi.co.jp」から届いた。内容はほとんど【重要】個人情報流出についてのお知らせ(象印でショッピング) 弊社グループ会社が運営する「象印でショッピング」への不正アクセスによる 個人情報流出に関するお詫びとお知らせと同じで、「なお、情報が流出した可能性のあるお客様には、順次、電子メール等にてお詫びとお知らせを個別にご連絡申し上げております。」とのこと。個別の連絡は来ていない。【追記ここまで】
あと、ついでだから書くが、象印の水筒は今年の2月に買ったもので、11月にカバンの中でロック部品(プラスチック製)が内部で割れて部品がバラバラになって蓋が閉まらなくなった(バネもカバンの中にあった)。買って1年経っていない。ステンレスボトル SM-TA型|商品情報|象印というものだ。写真の、開く蓋と筒にねじ込む部分とをロックする縦長の部分が内部で割れていた。
この水筒は内部の飲み口の部分がはめ込み式になっていて、ちょっと押すと簡単にずれる。そのときにこのロック部分の部品と干渉する。洗うときに飲み口の部分を握ってしまい中途半端にずれて面倒な製品だなと思っていたら、すぐに壊れた(ただし壊れた時は飲み口はちゃんとはまっていたはず)。
まあ、すぐに壊れなければこんなサイトで買い物することもなかったわけで、ダメな会社は製品からサイトまですべてダメなのかもしれないね。
まあ、こんなことを書いたら、犯人がこの部品を買ったやつは…と調べて、このブログを書いている私の住所氏名から性癖まで(違)わかってしまうが、そんな暇な奴だったらいつでも相手してやるよ(笑)。
写真は、壊れた方と注文して届いた方の部品。飲み口部分は買っていないので写っていない。なお、飲み口部分だけでは買えず、写真のように蓋だけか蓋+飲み口のどちらかでしか買えなかった記憶がある(というのはいまサイトが閉鎖中で確認できないから)。
【追記:2019年12月19日】
"【重要】象印マホービンを装った偽装メールにご注意ください"というメールが来た ― 2019年12月19日
【追記ここまで】
【追記】朝日新聞のスクープで、納税情報などが入ったHDDが廃棄業者から転売されたというニュースもある。【独自】行政文書が大量流出 納税記録などのHDD転売 茂木克信 2019年12月6日05時00分参照。納税情報なんて超重要な情報は廃棄業者に渡す前にHDDにドリルで穴開ければいいだけなんじゃないの。ほら政権党にドリル優子とか有名な人がいたじゃない。証拠隠滅の得意な政権に学ぶことは多いと思うよ…。【追記ここまで】
ヨドバシ恐るべし、GoRIDE2019年12月号と天文ガイド2020年1月号がもう届く ― 2019年12月06日 21時03分13秒
オフロードバイク雑誌GoRIDE2019年12月号をヨドバシドットコムで買う ― 2019年12月05日で書いた、ヨドバシドットコムに注文していた2冊の雑誌がもう届いた。
昨日の午後8時半ごろに注文した。昨日が発売日だった天文ガイドは、今日の午前2時半ごろ発送された。今日が発売日だったGoRIDEは日本郵便によると午前9時に引き受けとなっている。GoRIDEの発送通知は午前10時半ごろに来た。
この両方がもう手元にある。夕方から夜のうちに2回にわたって配達されたようだ。
ヨドバシカメラ、そこまで頑張らなくてもええんやで。これで送料無料だもの。
ヨドバシ恐るべし。何を目指しているんだろう?
最近のコメント