Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

エアガン通販サイトに不正アクセス - クレカ情報417件流出

エアガンや電動ガンの通信販売サイトである「FIRST ON WEB!」が不正アクセスを受け、顧客情報が流出していたことがわかった。

同サイトを運営するエス・ケー・シーによれば、外部からの不正アクセスによりクレジットカード情報流出が発生したもので、4月9日に決済代行業者よる指摘をきっかけに問題が発覚した。

カード決済のシステムを停止し、Payment Card Forensicsに調査を依頼。同サイトのデータベースがSQLインジェクション攻撃を受けていたことが判明した。バックドアを設置された3月29日からカード決済を停止した4月9日にかけて同サイトを利用した顧客の氏名、カード番号、有効期限、セキュリティコードなど417件の決済情報が流出した可能性がある。

同社のシステムでは、カードのデータを保管しないしくみだったが、バックドアを通じてデータを記録するようウェブアプリケーションが改ざんされたという。またカード情報を保存したファイルにバックドア経由でアクセスを受けていた。

同社では4月24日に調査を依頼。6月7日より調査を行い、8月13日付の調査最終報告書を持って情報流出があったと結論付けたという。正確な被害状況の確認までに時間がかかったとして謝罪している。

同社では、警察に被害を届けるとともに経済産業省に報告した。対象となる顧客にメールで経緯を報告し、1000円分の商品券を送付する。

同社ではオンライン決済の再開に向けてPCI DSSの取得を検討したが、時間がかかるとして断念。外部の決済代行業者による決済へ切り替える予定。またシステムを再構築し、セキュリティを強化するとしている。

(Security NEXT - 2013/09/13 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

登山情報サイトに不正アクセス - 会員へのフィッシングメールから判明
「ディノスオンラインショップ」に不正ログイン - 情報改ざんや不正注文が発生
システム管理者アカウントが奪われ、個人情報約7万件が流出 - 阪大
セキュリティコード含むカード情報が外部転送、流出の可能性 - 城山観光ホテル通販サイト
不正アクセスで顧客情報流出の可能性 - 上光証券
不正アクセスでクレカ情報流出の可能性 - HB-101ネットショップ
通販サイトでクレカ情報流出の可能性、セキュリティコードも - ミヨシ石鹸
セキュリティコード含むクレカ情報流出の可能性 - ゴルフ用品通販サイト
図書館のウェブサーバから個人情報流出の可能性 - 島根大
5年前に終了したプリントゴッコ通販サイトに不正アクセス - 顧客情報が流出