サウンドハウスの個人情報流出は最大9万7500件 - SQLインジェクション攻撃で

楽器や音響機器の通販サイトを運営するサウンドハウスが、不正アクセスを受けた問題で、同社は、攻撃内容や被害規模を明らかにした。

同社によれば、3月11日から22日まで、同社サイトにSQLインジェクションによる攻撃が行われていたという。IPは複数利用されており、発信源はすべて中国だった。

流出した可能性がある個人情報は、2007年1月1日から2008年3月22日までに新規会員登録を行った顧客の個人情報12万2884件のうちの最大9万7500件。流出したデータは、氏名や性別、生年月日、メールアドレス、パスワードだが、そのうち2万7743件については、カード名義やカード番号、有効期限など含まれていた。

同社では今回の事故を受け、警察や所轄官庁である経済産業省へ事故を届けた。またセキュリティ管理対策委員会を設置し、第三者機関の協力のもと、不正プログラムの除去やウェブサイトのシステム構成の再設計、不正アクセス監視を実施。ファイアウォールのアップグレードやデータベースからカード情報を削除など対策を進めている。

また、利用者のログインパスワードをリセットし、利用者に再設定を依頼。クレジットカードが流出した可能性がある利用者に対しては、カード会社へ連絡を取るよう呼びかけていたが、カード会社が不正利用についてモニタしていることから、利用者がカード会社へ連絡する必要はないと訂正している。

（Security NEXT - 2008/04/07 ） ツイート

PR

関連記事

サウンドハウスが補償内容を公表 - 事故対応の詳細や当事者の本音も
お詫びとしてカード以外の決済に還元セール - サウンドハウス
三菱UFJニコスやジャックスなども対応策明らかに - サウンドハウス問題
サウンドハウスの個人情報漏洩問題でカード会社が対応を表明
カード情報を含む個人情報が流出のおそれ - 楽器通販ショップ