絵本のポータルサイトがSQLインジェクションで顧客情報が漏洩

絵本ナビが運営する絵本の情報サイトが不正アクセスの被害を受け、顧客情報2万7469件が外部へ流出していたことがわかった。

4月にSQLインジェクション攻撃による不正アクセスを受け、同社が提供する「絵本ナビ」「絵本ナビShop」「絵本クラブ」の一部ユーザー情報が流出したもの。流出データの内容はIDとして利用するメールアドレスやパスワードのみで、氏名や住所、クレジットカード情報などは含まれていないとしている。

同社によれば、6月20日未明にサイトが改ざんされ、マルウェアを埋め込まれる被害が発生。同社では改ざんに気が付き、一時サイトを閉鎖して改修。同日夜にサービスを再開したが、ログの調査を進めたところ、4月の時点で別の攻撃により顧客情報が漏洩していることが判明したという。

同社では、7月はじめに経済産業省へ事態を報告。また警察へ被害を届けており、漏洩による不正利用の報告も受けていないという。すでに脆弱性は解消しており、関連する利用者に対して謝罪のメールを送信し、パスワード変更への対応など依頼している。

また発表が遅れたことについては、二次被害を防ぐために改修後の発表となったと説明。改修時についてもアクセスログの監視により顧客情報を保全していたとして、理解を求めた。

（Security NEXT - 2008/08/20 ） ツイート

PR

関連記事

サイトに脆弱性攻撃、会員メールアドレスが流出した可能性 - マリンネット
APIゲートウェイ向けにOSSのセキュリティプラグインを公開
研究参加者のメアドが流出か、SQLi攻撃の痕跡 - 統数研
SQLi攻撃で顧客情報流出、顧客に脅迫メールも - アパレルブランド
資格検定申込サイトへSQLi攻撃 - メアド流出の可能性
経産省、メタップスPに行政処分 - 診断で脆弱性見つかるも報告書改ざん
問合システムにブラインドSQLi攻撃、メアド流出の可能性 - 名古屋大
矢野経済研究所に不正アクセス - SQLi攻撃でアカウント情報が流出
サーバに大量のSQLi攻撃、メアド流出か - エフシージー総研
ほくせんカードの会員サイトにSQLi攻撃 - 顧客情報4.4万件が流出の可能性