「スポーツデポ」などのアルペングループに不正アクセス被害 38,954件の顧客情報流出

「スポーツデポ」や「アルペン」などのスポーツ用品店舗を展開している「株式会社アルペン」は、外部からの不正アクセスを受け38,954件の顧客個人情報が流出した可能性があると公表しました。

発覚経緯

8月1日から8月6日の間、顧客の個人情報を個別管理するシステムに、異常なアクセス数があったことから調査したところ、外部からの不正アクセスを受けていたことが判明しました。
不正アクセスはリスト型攻撃によるもので、攻撃者は、登録されている顧客のパスワード情報を、なんらかのルートで入手し、それらを基に認証セキュリティをクリアしたと見られております。
 

被害状況

アルペン社は、今回の不正アクセスによる被害状況を以下のとおりまとめております。

・不正アクセスにより被害を受けたアカウントは最大38,954 件
・7名の顧客は、所有しているポイントを不正利用されており、
 現時点で総計430,930ポイントが確認されている。
・流出した顧客の個人情報は、氏名、性別、生年月日、住所、メールアドレス、クレジットカード情報一部(セキュリティコードは含まない)

また、アルペン社のオンラインショップにおいて、今回の不正アクセスが原因とみられる、クレジットカードの不正利用は確認されていないとのことです。
 

対応状況

アルペン社は、現在以下のとおり対応を進めております。
・通信元を特定してアクセスを遮断し、その他のアク セスの監視強化
・被害のあったアカウントの無効化とパスワードの再設定
・個人情報保護委員会および警察への概要報告

同社は顧客に対して、今後の不正アクセス防止のため、他社サービスで利用しているパスワードの流用や、推測されやすい簡易な設定は控えるよう注意を呼び掛けております。
またパスワードやクレジットカード情報を、アルペン社側から顧客に対して、メールや電話、SNSなどで問い合わせることは一切ないとのことです。
 

【参考URL】
「リスト型アカウントハッキング(リスト型攻撃)」による弊社会員管理システムへの不正ログインの発生とパスワード変更のお願いについて