メニコンの会員サイトで情報流出、OpenSSLの脆弱性で約668万円の被害

　コンタクトレンズ事業を手掛けるメニコンは2018年5月17日、レンズ販売を担う子会社のダブリュ・アイ・システムが運営する会員専用サイトが外部からの不正アクセスを受け、顧客のクレジットカード情報が流出したと発表した。情報流出により、27人が約668万円の不正利用被害（5月2日時点）に遭ったという。

　不正アクセスを受けた会員専用サイトは「A-Web倶楽部」。メニコン広報は「WebアプリケーションにおけるOpenSSLの脆弱性を利用した攻撃が原因」と説明する。メニコングループの他のWebサイトは、不正アクセスの対象となっていないという。同社は3月中に、攻撃の対象となった脆弱性の対策を完了させる計画だった。

　流出の可能性があるのは2017年12月17日～2018年3月27日の期間中に同サイトにおいてクレジットカード決済を利用した顧客で3412件。会員名、カード番号、有効期限が対象だ。

　メニコンの発表によれば経緯は次の通り。2018年3月27日にダブリュ・アイ・システムが決済代行会社を通じて、A-Web倶楽部の一部サービスで「情報流出の懸念がある」と連絡を受けた。ダブリュ・アイ・システムは同サイトの利用を停止した。

　3月27日に第三者機関へ調査を依頼した結果、5月2日に第三者機関からの調査報告書を受け取ったという。所轄の警察署や官庁などには報告を済ませているという。5月17日から顧客に向けて電子メールなどで案内を進めている。

　メニコンは顧客に向け「多大なるご迷惑とご心配をおかけしますことを心よりお詫び申し上げます」と謝罪した。