象印マホービンは12月5日、子会社の象印ユーサービスが運営する、部品や消耗品の通販サイト「象印でショッピング」が不正アクセスを受け、顧客情報(クレジットカード情報は含まず)が最大で28万件流出した恐れがあると発表した。また、同サイトから不正に取得したメールアドレスに対し、攻撃者が詐欺メールを送りつけたことがきっかけとなり、顧客のカード情報が窃取された恐れがあることも分かった。

　12月4日の18時頃、「象印のキャンペーンを装った不審なメールが届いている」との問い合わせが一部の顧客からあり調査した結果、第三者による不正アクセスと個人情報の漏えいが発覚。同日21時に「象印でショッピング」を停止した。

　社内調査の結果、当該サイトにおけるシステムのぜい弱性が突かれ、第三者の不正アクセスで個人情報が抜き取られていたことが分かった。流出した恐れがあるのは、当該サイトで2015年7月～今年12月4日に購入した顧客の個人情報で、氏名・住所・注文内容・配送先情報・メールアドレス・電話番号など。なお、カード情報は含まれていない。

　また、4日には流出した顧客のメールアドレスに対し、詐欺サイトへの誘導メール(フィッシングメール)が送付された。メールの件名は「○○○○(顧客の氏名)おめでとうございます!　オリジナルクオカード　キャンペーン実施中!」。メールの送信元アドレスはshopmaster@zojirushi.co.jpで、象印から送信されたように装っていた。同社によれば、メールの内容は「3000円分のクオカードが当選したが、送料が100円必要となる」といった内容で、「『象印でショッピング』内に設置したバナーをクリックすると、詐欺サイトに遷移してカード情報の入力を求められるようになっていた」(象印マホービン広報)という。

　詐欺サイトで窃取された恐れがあるのは、カードの名義人名、カード番号、有効期限、セキュリティーコードのほか、顧客が入力したパスワード。窃取されたカード情報を用いた不正利用については「数件発生したとの連絡が来ている」(同)。詐欺サイトの決済情報入力画面でパスワードを入力した顧客については、メールアドレスと当該パスワードの組み合わせで他サイトにログインされる恐れがあることから、他サイトでも当該パスワードを使用している場合は変更するよう呼びかけている。

　個人情報が流出した恐れがあるユーザーに対しては、個別にメールで連絡している。また、現在第三者調査機関による調査を実施しており、正式な被害状況の公表については、調査結果を待ってから行う。

　象印マホービンでは、他の個人情報を保持するシステムのぜい弱性を調査するとともに、第三者調査機関の調査結果を踏まえ、システムのセキュリティー対策と監視体制、リスクマネジメント体制の強化を行うことで再発防止を図るとしている。また、当該サイトは現在もサービスを停止しており、再開する日は同社コーポレートサイトで告知する。