女性向けアパレル通販「神戸レタス」、約4万件の顧客情報漏えい問題の調査結果を公表

2015年5月までに受けた不正アクセス攻撃により、会員登録情報など4万2680件の顧客情報が漏えいした可能性がある問題を受け、レディースファッションの通販・ECサイト「神戸レタス」を運営するマキシムは7月22日、不正アクセス問題に関する最終の調査結果を明らかにした。

Payment Card Forensics（PCF）に、不正アクセスの発生原因の究明、漏えいした可能性があるデータ範囲の特定について調査を委託した。

「神戸レタス」公式サイトで漏えいした可能性のある顧客情報は4万2680件。判明した詳細は次の通り。

• 会員登録したユーザー → 会員ID、パスワード、WEB会員番号、メールアドレス、電話番号、郵便番号、生年月日
• 非会員で注文したユーザー → メールアドレス、電話番号、郵便番号

なお、「神戸レタス」ではクレジットカードや決済に関する情報は保持していない。そのため漏えいの可能性はないとしている。

「神戸レタス」ではセキュリティ体制の強化の一環で、WAF（WebApplicationFirewall）を導入。従来のFirewallによるネットワークレベルでの防御に加え、アプリケーションレベルでの不正なアクセス、クロスサイトスクリプティング、SQLインジェクションといった攻撃の検知、阻止を行う体制を整えた。

不正アクセス検知時の対応フローと対策チームを定義し、迅速な対応と、被害を拡大未然に防ぐ社内体制を構築したという。

また、サーバーのリプレイスを実施。OSとミドルウェアを最新状態にして脆弱性を解消。サーバー運用代行会社による、脆弱性の定期的なアップデートを実施している。