絵本のポータルサイトがSQLインジェクションで顧客情報が漏洩

絵本ナビが運営する絵本の情報サイトが不正アクセスの被害を受け、顧客情報2万7469件が外部へ流出していたことがわかった。

4月にSQLインジェクション攻撃による不正アクセスを受け、同社が提供する「絵本ナビ」「絵本ナビShop」「絵本クラブ」の一部ユーザー情報が流出したもの。流出データの内容はIDとして利用するメールアドレスやパスワードのみで、氏名や住所、クレジットカード情報などは含まれていないとしている。

同社によれば、6月20日未明にサイトが改ざんされ、マルウェアを埋め込まれる被害が発生。同社では改ざんに気が付き、一時サイトを閉鎖して改修。同日夜にサービスを再開したが、ログの調査を進めたところ、4月の時点で別の攻撃により顧客情報が漏洩していることが判明したという。

同社では、7月はじめに経済産業省へ事態を報告。また警察へ被害を届けており、漏洩による不正利用の報告も受けていないという。すでに脆弱性は解消しており、関連する利用者に対して謝罪のメールを送信し、パスワード変更への対応など依頼している。

また発表が遅れたことについては、二次被害を防ぐために改修後の発表となったと説明。改修時についてもアクセスログの監視により顧客情報を保全していたとして、理解を求めた。

（Security NEXT - 2008/08/20 ） ツイート

PR

関連記事

KBMJ、ECサイトのセキュリティ診断サービスを100社限定5万円で提供
ジェイピー・セキュア、Apacheモジュール型WAFを発売
国内外からウェブサーバに不正アクセス、カード情報が流出 - ヴァーナル
KVH、クラウド型のウェブアプリ脆弱性診断サービスを提供
不正アクセスによる個人情報漏洩が判明 - 文科省
JP-Secure、Apacheモジュール型WAFのベータ版を提供
日本オラクル、データベースファイアウォールの日本語版を発売
ゲーム通販サイトに不正アクセス - 顧客情報3471件が漏洩した可能性
Imperva Japan、WAFをネット経由で提供 - DDoS対策サービスも用意
テニス用品通販サイトに不正アクセス、クレジットカード情報が流出