ミネルヴァ・ホールディングスは6日、同社子会社のナチュラム・イーコマースが運営するECサイト「アウトドア&フィッシング ナチュラム」において、顧客データ約65万件が流出した可能性があると発表した。「海外からの不正アクセスにより流出した可能性がある」(同社)としている。
同社によると、今年7月9日、クレジットカード会社から、カード情報流出の可能性について調査依頼があった。同月10日、第三者機関であるセキュリティ専門会社による調査を開始。外部からの不正アクセスの痕跡を発見し、不正アクセスの可能性のある外部からのルートをすべて遮断。念のため、システム内のクレジットカード情報をすべて削除し、クレジット決済を一時休止した。
同月18日、不正アクセスの内容として個人情報が閲覧された痕跡を確認し、流出の可能性がある顧客の特定作業を開始。同22日には、セキュリティ専門会社によりシステムの安全性が確認されたため、クレジットカード決済を再開。
8月6日、流出の可能性がありメールアドレスが分かっている顧客に対し、情報流出の可能性を通知した。
セキュリティ専門会社によるログ分析の結果、犯罪者は同サイトのメンテナンス用サーバに不正に侵入。同サーバを経由してWebサーバに不正アクセス用プログラムを設置した可能性が高いという。
不正アクセス用プログラムは、「アウトドア&フィッシング ナチュラム」において、2000年5月~2008年7月10日の間に買い物、または会員登録などをした顧客個人情報が格納されている「顧客マスター」を閲覧できる機能を保有。この事実から、「顧客マスターのデータが流出した可能性が高い」(ミネルヴァ・ホールディングス)としている。
なお、顧客マスターには、「アウトドア&フィッシング ナチュラム」「ナチュラムモバイルショップ」「blog@naturum」の3つのサイトの利用者の個人情報が格納されていた。
同社によると、流出の可能性のあるデータは、65万3,424件。このうち、クレジットカード番号(下4桁は同社は保持していない)が含まれるものは8万6,169件あるという。
現在、不正アクセス用プログラムはすべて排除され、侵入経路となりうる部分はすべて外部から遮断。さらにIPS(不正侵入防止システム)による24時間監視体制を行っている。
同社では専用窓口を開設。電話での問い合わせは、フリーダイヤル : 0120-560-682。受付時間は、8月7日~8日は9時~21時、8月9日以降は9時~18時となっている。メールでの問い合わせフォームもある。