
三越伊勢丹ホールディングスは8月5日、三越伊勢丹グループが運営するオンラインサイト「三越伊勢丹オンラインストア」と子会社のエムアイカードのホームページにおいて、海外のIPアドレスからの不正アクセスおよび不正ログインを受け、一部会員の会員情報が閲覧された可能性があると発表した。今回の不正ログインの手法は、他社サービスから流出した可能性のあるユーザID・パスワードを利用した「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われたようだと同社は推察している。
「三越伊勢丹オンラインストア」は、7月6日から8月3日の間に氏名、住所、電話番号、メールアドレス、生年月日などが閲覧された可能性がある。クレジットカード情報は、有効期限とカード番号下4桁のみ閲覧された可能性がある。エムアイカードのホームページは、同期間に会員氏名、請求予定額、現在の保有ポイントなどが閲覧された可能性がある。双方で約2万件の不正ログインの被害を受けた可能性がある。
不正ログインの被害を受けた可能性がある会員には、8月5日中に個別にメールで連絡の上、パスワードの変更をお願いしたという。同社は、不正ログインが試行されたIPアドレスからのアクセスを遮断するとともに、新規セキュリティ機器の導入および既存セキュリティ機器のチューニングを実施しセキュリティ対策を強化した。さらに、警察への相談、第三者機関を入れた対応を進めている。