メガネブランド JINS(ジンズ)を運営するジェイアイエヌは、同社が運営するネット通販サイト「JINS オンラインショップ」に不正アクセスがあったことを発表した。
不正アクセスが確認されたのは3月22日(水)。同日中に新しいサーバ環境を構築し、新たなプログラムに移行した上で、専門調査会社に依頼して調査を開始した。翌3月23日(木)に、公式サイトを通じて不正アクセスの事実を発表し、専用の問い合わせ窓口を開設した。
「当社サイト(JINSオンラインショップ)への不正アクセスについて | お知らせ | JINS - 眼鏡(メガネ・めがね)」
(スクリーンショット)
そして、3月24日(金)に調査結果を公式サイトおよびニュースリリースで公表した。
- 当社WEBサイトへの不正アクセスについて(セキュリティ対策実施済)3/24 | お知らせ | JINS - 眼鏡(メガネ・めがね)
- 企業情報(JINSオンラインショップへの不正アクセスについて)(PDF)
「当社WEBサイトへの不正アクセスについて(セキュリティ対策実施済) 3/24 | お知らせ | JINS - 眼鏡(メガネ・めがね)」
(スクリーンショット)
この発表によると、今回の不正アクセスはウェブアプリケーションフレームワーク「Apache Struts2」の脆弱性が利用されたもので、第三者が一定期間、顧客情報にアクセスできる状況だったことが判明したという。
アクセスできる状況にあったのは、メールアドレスと個人情報(氏名・住所・電話番号・生年月日・性別)が749,745件、メールアドレスのみが438,610件の計1,188,355件。また、クレジットカード情報は同社のサーバには保管されておらず、漏えいの事実は確認されていないとしている。
ジェイアイエヌでは引き続き調査を続けており、情報流出が確認された顧客には個別に連絡するとしている。
「JINS オンラインショップ」は、2013年にも不正アクセスを受け、その際にはクレジットカード情報が流出した。
もっと詳しく知る
▼「JINS」 不正アクセスで個人情報75万件流出か | NHKニュース
インターネット上では、この会社のデータベースの情報を盗み出したとして、仮想通貨でおよそ130万円相当を払うよう要求する文書が見つかっていて、会社側で確認を急いでいます。
▼ニュース - JINSのWebサイトにStruts2の脆弱性突く不正アクセス、4年前にもStruts2で被害:ITpro
「Struts2の脆弱性対応も含めて、厳格なセキュリティ対策を実施してきたが、今回も不正アクセスを許してしまった。結果的には、対策が不十分だった」
