Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

アウトドア用品サイト「ナチュラム」に不正アクセス - 最大65万件の個人情報が流出

ミネルヴァ・ホールディングス(旧ナチュラム)の子会社であるナチュラム・イーコマースが運営しているショッピングサイトが、不正アクセスの被害に遭い、カード情報を含む最大約65万件の個人情報が流出したことがわかった。

同サイトのメンテナンス用サーバが、外部からの不正アクセスによりバックドアを設置されたもの。PC向けサイト「アウトドア&フィッシングナチュラム」をはじめ、携帯電話向けサイト「ナチュラムモバイルショップ」、会員向けブログサービス「blog@naturum」の3サイトが利用する顧客データベースが外部から閲覧されたという。

7月9日、同社に対しクレジットカード会社からカード情報の流出について調査依頼があり、7月10日に不正アクセスが発覚。7月18日に個人情報へのアクセスが確認された。流出規模はわかっておらず、データベースに保存されていたカード情報8万6169件を含む最大65万3424件の個人情報が流出した可能性がある。

流出した個人情報の内容は、2000年5月から2008年7月10日までに同サイトへ会員情報を登録した顧客情報で、氏名や住所、メールアドレス、ユーザーID、パスワードのほか、任意で登録が行えた電話番号やファックス、家族構成、性別など含まれる。またクレジットカード情報は、カード名義や有効期限、カード番号の一部が記録されていた。

データベースへのアクセスは、SQLインジェクション攻撃によるものではないが、サーバへ不正に侵入する過程で同攻撃が利用された可能性が高いという。

同社では、8月6日の事件公表に合わせ、顧客に対してメールにより事件について説明を行い、パスワードの変更を依頼した。現在警察へ捜査協力を行っており、PCI DSSへの準拠などセキュリティ強化を進める。

また同社は、不正アクセスが発覚した7月10日に保有するカード情報を削除、カード決済の提供を一時停止したが、その後セキュリティ調査会社により安全性が確認されたとして7月22日よりカード決済を再開。被害者への謝罪として、8月6日から10月31日まで「アウトドア&フィッシングナチュラム」において5%の割引を行う。

(Security NEXT - 2008/08/06 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

人事情報の不正閲覧で職員2人を処分、以前から漏洩のうわさ - 筑前町
eモータースポーツ公式アカウントの乗っ取りで個人情報流出の可能性
問合フォームに別人の個人情報、キャッシュ設定不備で - ソフト開発会社
JRA海外駐在員事務所でフィッシング被害 - メールボックスに不正アクセス
メール覗き見職員を処分、PWなど推測して不正アクセス - 宇陀市
サポート詐欺被害でイベント参加者名簿が流出の可能性 - 山口市
総務省、LINEヤフーに行政指導 - 「電気通信事業全体の信頼を損なった」
学生服通販サイトの旧サイトに不正アクセス - クレカ情報流出の可能性
なかほら牧場の通販サイトに不正アクセス - 個人情報流出の可能性
ヘアケアツール通販サイトに不正アクセス - 個人情報流出の可能性

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.