三菱UFJニコス、のべ894人の会員情報が不正閲覧 - OpenSSLの脆弱性が原因

クレジットカードの発行事業などを手がける三菱UFJニコスは18日、のべ894人の会員登録情報が不正閲覧されたと発表した。OpenSSLの脆弱性を狙った不正アクセスが原因で、閲覧された情報はクレジットカード番号の一部や生年月日、氏名住所など。暗証番号やログインパスワードは不正閲覧されていない。該当ユーザーにはメールおよび手紙、電話で連絡済み。

三菱UFJニコスの発表文(一部)

被害に遭った894名(のべ人数)は、同社発行のクレジットカードを保有する、もしくは同社がカード発行業務を受託している先のWeb会員のユーザー。不正閲覧された情報は、カード番号(一部非表示)、氏名、生年月日、住所、電話番号、メールアドレス、WebサービスID、有効期限、カード名称、入会年月、利用代金支払い口座(金融機関名・支店名)、勤め先、勤め先電話番号など。カードの暗証番号、およびWebサービスログインパスワードは閲覧されていないという。

同社は11日6時33分にサーバへの不正アクセスを検知・調査したところ、オープンソースの暗号化プログラムOpenSSLの脆弱性を狙ったアクセスであったと特定、影響範囲を調べるとともに会員向けサービスを停止した。12日未明、同プログラムの修正版にバージョンアップを図り、12日7時48分よりWebサービスを再開した。

18日現在、カードの不正使用や個人情報の悪用といった被害は確認されていないが、この不正アクセスにより被害が発生した場合、ユーザーに負担をかけないよう対応するとしている。

同社はユーザーに謝罪するとともに、システムの防衛体制を強化し、ネット不正対応の専門チームを組成する予定。OpenSSLは米国時間4月7日に脆弱性が明らかになっており、セキュリティ企業などから注意喚起されていた。