Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

エアガン通販サイトに不正アクセス - クレカ情報417件流出

エアガンや電動ガンの通信販売サイトである「FIRST ON WEB!」が不正アクセスを受け、顧客情報が流出していたことがわかった。

同サイトを運営するエス・ケー・シーによれば、外部からの不正アクセスによりクレジットカード情報流出が発生したもので、4月9日に決済代行業者よる指摘をきっかけに問題が発覚した。

カード決済のシステムを停止し、Payment Card Forensicsに調査を依頼。同サイトのデータベースがSQLインジェクション攻撃を受けていたことが判明した。バックドアを設置された3月29日からカード決済を停止した4月9日にかけて同サイトを利用した顧客の氏名、カード番号、有効期限、セキュリティコードなど417件の決済情報が流出した可能性がある。

同社のシステムでは、カードのデータを保管しないしくみだったが、バックドアを通じてデータを記録するようウェブアプリケーションが改ざんされたという。またカード情報を保存したファイルにバックドア経由でアクセスを受けていた。

同社では4月24日に調査を依頼。6月7日より調査を行い、8月13日付の調査最終報告書を持って情報流出があったと結論付けたという。正確な被害状況の確認までに時間がかかったとして謝罪している。

同社では、警察に被害を届けるとともに経済産業省に報告した。対象となる顧客にメールで経緯を報告し、1000円分の商品券を送付する。

同社ではオンライン決済の再開に向けてPCI DSSの取得を検討したが、時間がかかるとして断念。外部の決済代行業者による決済へ切り替える予定。またシステムを再構築し、セキュリティを強化するとしている。

(Security NEXT - 2013/09/13 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

ファッション通販サイトへの不正アクセス、流出件数修正
肉加工食品通販サイトに不正アクセス - 情報流出でカード不正利用の可能性
JICA関連サイトに不正アクセス - メアドやPWなど流出
「雇用調整助成金」システムの不具合 - ブラウザ「戻るボタン」で意図せぬ表示に
「NarSuS」利用者情報約6万件の流出確認 - アイ・オー・データ
アイ・オーNAS管理サービスへの不正アクセス、複数サーバに痕跡
コインチェックのドメイン管理に不正アクセス - 改ざんで顧客メール窃取か
コインチェック、情報流出懸念の対象件数を修正 - 送金サービスを再開
事務用品通販サイトの顧客情報流出 - クレカ流出件数を修正
アンケートサイトで不正ログイン - ポイントの不正交換も