三菱 UFJ ニコスが一時停止したサービスの1つ |
三菱 UFJ ニコスでは、ネット上でカードの明細確認したり住所変更の手続きをしたりできるさまざまなサービスを運営しており、ユーザーの情報を第三者に盗み見されないよう OpenSSL を使って通信を暗号化していた。
ところが4月6日になって、OpenSSL を導入しているサービスから、たやすくユーザーの ID やパスワードを盗み見れる深刻な脆弱性が見つかった。7日にはこの脆弱性への対策を施したOpenSSL の修正版も出たが、三菱 UFJ ニコスのサービスは導入が追い付かず、不正アクセスを受けた。
攻撃に気づいた同社は11日にネットサービスを一時停止。12日には修正版 OpenSSL を導入して再開し、18日に被害の詳細を明らかにした。
流出したのは同社発行のクレジットカードを所有し、ネットサービスを利用していたのべ894人分の個人情報。内容はカード番号や有効期限、入会年月、持ち主の氏名、生年月日、住所、電話番号、メールアドレス、ネットサービスの ID、引き落とし用の銀行口座、勤務先名とその電話番号などだ。
カード番号は一部非表示になっている。またカードの暗証番号やネットサービスのパスワードは流出しなかった。なお、すでに該当する顧客には連絡済みという。
これらの個人情報を不正利用した痕跡はまだ見つかっていない。三菱 UFJ ニコスは不正検知システムを使って監視を続け、万が一、被害が発生した場合には顧客に負担がかからないように対応するとしている。