Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

絵本のポータルサイトがSQLインジェクションで顧客情報が漏洩

絵本ナビが運営する絵本の情報サイトが不正アクセスの被害を受け、顧客情報2万7469件が外部へ流出していたことがわかった。

4月にSQLインジェクション攻撃による不正アクセスを受け、同社が提供する「絵本ナビ」「絵本ナビShop」「絵本クラブ」の一部ユーザー情報が流出したもの。流出データの内容はIDとして利用するメールアドレスやパスワードのみで、氏名や住所、クレジットカード情報などは含まれていないとしている。

同社によれば、6月20日未明にサイトが改ざんされ、マルウェアを埋め込まれる被害が発生。同社では改ざんに気が付き、一時サイトを閉鎖して改修。同日夜にサービスを再開したが、ログの調査を進めたところ、4月の時点で別の攻撃により顧客情報が漏洩していることが判明したという。

同社では、7月はじめに経済産業省へ事態を報告。また警察へ被害を届けており、漏洩による不正利用の報告も受けていないという。すでに脆弱性は解消しており、関連する利用者に対して謝罪のメールを送信し、パスワード変更への対応など依頼している。

また発表が遅れたことについては、二次被害を防ぐために改修後の発表となったと説明。改修時についてもアクセスログの監視により顧客情報を保全していたとして、理解を求めた。

(Security NEXT - 2008/08/20 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

ウェブアプリ脆弱性検査サービス「VAddy」がプライベートネットワークの検査に対応
セキュアブレイン、インフラやウェブアプリの脆弱性診断サービス
東商マート、顧客情報流出の調査結果を報告 - 当初可能性を大幅に下回る規模
InterFMに不正アクセス、リスナーの個人情報が流出 - Twitter上への投稿で判明
不正アクセスで顧客情報4.9万人流出の可能性 - 東商マート
通販サイトに不正アクセス、クレカ情報流出 - ヤマサちくわ
不正アクセスによる情報漏洩、会員など最大約6万人に影響 - イベント制作会社
「SQLi攻撃」で最大13万件の顧客情報が流出 - 日販グループ会社
メルマガ読者管理DBにSQLi攻撃、一部流出か - ソフト開発会社
スカイアーチ、項目を絞ったサイト脆弱性診断サービス