サンドラッグは7月12日、ECサイト「サンドラッグ e-shop 本店」および、「サンドラッグお客様サイト」が海外のIPアドレスからの不正アクセスを受け、不正にログイン、一部会員については会員様情報が閲覧された可能性があることわかったと発表し、謝罪の意を表明した。被害の詳細を確認するとともに、被害を受けた可能性がある顧客には個別の連絡を行っている。
サンドラッグは、ECサイト「サンドラッグ e-shop 本店」および、「サンドラッグお客様サイト」において、不正アクセスによる情報流出の可能性が判明したと発表した。
本件は、7月11日にシステム委託会社からの報告により発覚したもので、他社サービスから流出した可能性のあるユーザ ID・パスワードを利用した「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われていると推測。詳しい被害状況は確認中であるとし、現時点で判明している状況と対応を報告した。
不正ログインの期間は、7月9日~7月11日で、対象となったのは「サンドラッグ e-shop 本店」「サンドラッグお客様サイト」の顧客データ1万9057件。閲覧された可能性がある会員情報は、氏名・住所・電話番号・メールアドレス・パスワード・生年月日・購入履歴・現在の保有ポイントなど。クレジットカード情報は、カード番号頭6桁および下2桁のみとなる。
7月11日に発覚後、不正ログインの被害を受けた可能性がある顧客には、同日中に個別にメールで連絡をし、パスワードの変更を依頼した。また、不正ログインがが試行された海外からのアクセスについては遮断するとともに、第三者機関を踏まえたセキュリティ対策を講じている。
今後重大な影響が発生する場合は速やかに開示を行うとし、謝罪の意を表明するとともに、再発防止に向け、セキュリティ対策のさらなる強化に努める考えを示した。
