三菱UFJニコス- 顧客情報漏洩

不正アクセス 個人情報漏えい

三菱UFJニコスは、会員向けウェブサイトが「OpenSSL」の脆弱性「Heartbleed」を悪用した不正アクセスを受け、顧客情報894件が不正に閲覧された可能性があることを発表した。

同社では、4月11日に暗号化ライブラリ「OpenSSL」の脆弱性である「Heartbleed」に対応するため、4月11日6時ごろに検知ソフトを導入したところ、6時半過ぎに不正アクセスを検知。10時過ぎに攻撃を遮断し、同日14時半ごろより「MUFGカードWEBサービス」や「DC Webサービス」など7種の会員向けウェブサービスを一時停止した。

同社が攻撃の影響について調査したところ、4月9日19時から攻撃を遮断した同月11日10時までに同社カード会員の顧客情報894件が、外部に漏洩した可能性があることが判明した。

漏洩したのは、顧客の氏名、住所、電話番号、生年月日、メールアドレス、勤務先電話番号、ウェブサービスのIDのほか、カード番号の一部や有効期限、代金支払口座の金融機関名と支店名などが漏洩したおそれがある。カードの暗証番号やウェブサービスのログインパスワードなどは含まていないと説明している。

漏洩したおそれがあるクレジットカード番号は、一部文字が伏せ字となっており、不正利用される可能性は低いと説明しており、カードの不正使用や個人情報の悪用といった二次被害の報告は受けていないという。

同社が「Heartbleed」を認識したのは4月10日。翌11日に対策を講じたが、対策を完了するまでに攻撃を受けてしまい、結果的に間に合わなかった。

また脆弱性攻撃の規模について「相当数の攻撃を受けた」としているが、警察へ被害を相談しているとして、具体的な規模や攻撃の発信国などについては言及を避けた。

不正アクセスの影響で一時停止していたサービスについては、脆弱性の修正など対策を実施したとして、12日7時48分より再開した。