エアガン通販サイトに不正アクセス - クレカ情報417件流出

エアガンや電動ガンの通信販売サイトである「FIRST ON WEB！」が不正アクセスを受け、顧客情報が流出していたことがわかった。

同サイトを運営するエス・ケー・シーによれば、外部からの不正アクセスによりクレジットカード情報流出が発生したもので、4月9日に決済代行業者よる指摘をきっかけに問題が発覚した。

カード決済のシステムを停止し、Payment Card Forensicsに調査を依頼。同サイトのデータベースがSQLインジェクション攻撃を受けていたことが判明した。バックドアを設置された3月29日からカード決済を停止した4月9日にかけて同サイトを利用した顧客の氏名、カード番号、有効期限、セキュリティコードなど417件の決済情報が流出した可能性がある。

同社のシステムでは、カードのデータを保管しないしくみだったが、バックドアを通じてデータを記録するようウェブアプリケーションが改ざんされたという。またカード情報を保存したファイルにバックドア経由でアクセスを受けていた。

同社では4月24日に調査を依頼。6月7日より調査を行い、8月13日付の調査最終報告書を持って情報流出があったと結論付けたという。正確な被害状況の確認までに時間がかかったとして謝罪している。

同社では、警察に被害を届けるとともに経済産業省に報告した。対象となる顧客にメールで経緯を報告し、1000円分の商品券を送付する。

同社ではオンライン決済の再開に向けてPCI DSSの取得を検討したが、時間がかかるとして断念。外部の決済代行業者による決済へ切り替える予定。またシステムを再構築し、セキュリティを強化するとしている。

（Security NEXT - 2013/09/13 ） ツイート

PR

関連記事

不正アクセスで医療従事者情報などが流出か - 富士フイルムメディカル
職員用グループウェアがランサム被害、生徒情報流出か - 向上学園
予約管理システム侵害、予約者にフィッシングメール - 京都市内のホテル
ランサム被害による個人情報流出を確認 - 保険事故調査会社
駿河屋サイトの改ざん、監視ツールの脆弱性経由 - 侵害検知以降にも流出
フィッシング契機に個人情報流出判明、犯行声明も - フォトクリエイト
リサイクル着物の通販サイト、クレカ情報流出のおそれ
マルウェアがSlack認証情報を窃取、個人情報や履歴が流出か - 日経
物流関連サービスへ不正アクセス、個人情報流出のおそれ - 西濃運輸
ビジネスフォン通販サイト、個人情報流出の可能性