Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

カード情報約3万件がSQLインジェクションで流出 - アイリスオーヤマ子会社

アイリスオーヤマの子会社で、ネットショップを展開するアイリスプラザが、不正アクセスを受け、クレジットカード情報が外部へ流出したことがわかった。

流出した情報は、2007年6月1日から2008年6月6日までに同社ウェブサイトで利用されたカード番号2万8105件で、987件については有効期限も含まれていた。ただし、氏名やメールアドレスは流出していないという。

流出の原因は、中国が発信元となったSQLインジェクション攻撃で、同社によれば、ウェブサイトについてはSQLインジェクション対策を実施していたものの、一部利用していない未対策のプログラムが狙われた。

6月6日にカード会社からカード情報の流出について指摘があり、アクセスログを調べたところ不正アクセスの形跡から事件が発覚。同月中旬よりセキュリティ事業者をまじえたログの分析を開始した。同月末になってカード情報が流出したことが判明した。情報が不正に利用されたとの報告は受けていないという。

今回、事故発覚から公表まで1カ月半の時間が経過したことについて、流出データの特定に時間がかかったと同社では釈明。関連する顧客に対しては7月23日にメールで経緯を報告した。

メールで連絡が取れない顧客については、書面や電話で対応する。また顧客に対して、パスワードの変更やカードの差し替えなど対策を実施するよう呼びかける。

(Security NEXT - 2008/07/23 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

つり番組サイトに不正アクセス - 「脆弱性診断ツール」を悪用か
農業求人サイトに不正アクセス、情報流出の可能性 - スパムや不審郵便物届く
結婚式招待状の通販サイトに不正アクセス - メアド約2.8万件が流出か
複数自治体などの省エネ支援サイトから登録者情報が流出 - 同一DB上データに影響波及
「プレミアム・アウトレット」からの流出データ、5カ所で公開を確認
MS&Consulting、登録者情報約57万件が流出か - あらたな可能性判明で件数修正
覆面調査サービスに不正アクセス、PWなど漏洩 - WAF設定ミスで攻撃防げず
園芸振興センターの会員情報が流出、一時ダークウェブ上に - 宝塚市
不正アクセスで認定医情報が流出か - 日本がん治療認定医機構
「ヤマケイオンライン」への不正アクセス、一部個人情報の流出を確認