Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

アウトドア用品サイト「ナチュラム」に不正アクセス - 最大65万件の個人情報が流出

ミネルヴァ・ホールディングス(旧ナチュラム)の子会社であるナチュラム・イーコマースが運営しているショッピングサイトが、不正アクセスの被害に遭い、カード情報を含む最大約65万件の個人情報が流出したことがわかった。

同サイトのメンテナンス用サーバが、外部からの不正アクセスによりバックドアを設置されたもの。PC向けサイト「アウトドア&フィッシングナチュラム」をはじめ、携帯電話向けサイト「ナチュラムモバイルショップ」、会員向けブログサービス「blog@naturum」の3サイトが利用する顧客データベースが外部から閲覧されたという。

7月9日、同社に対しクレジットカード会社からカード情報の流出について調査依頼があり、7月10日に不正アクセスが発覚。7月18日に個人情報へのアクセスが確認された。流出規模はわかっておらず、データベースに保存されていたカード情報8万6169件を含む最大65万3424件の個人情報が流出した可能性がある。

流出した個人情報の内容は、2000年5月から2008年7月10日までに同サイトへ会員情報を登録した顧客情報で、氏名や住所、メールアドレス、ユーザーID、パスワードのほか、任意で登録が行えた電話番号やファックス、家族構成、性別など含まれる。またクレジットカード情報は、カード名義や有効期限、カード番号の一部が記録されていた。

データベースへのアクセスは、SQLインジェクション攻撃によるものではないが、サーバへ不正に侵入する過程で同攻撃が利用された可能性が高いという。

同社では、8月6日の事件公表に合わせ、顧客に対してメールにより事件について説明を行い、パスワードの変更を依頼した。現在警察へ捜査協力を行っており、PCI DSSへの準拠などセキュリティ強化を進める。

また同社は、不正アクセスが発覚した7月10日に保有するカード情報を削除、カード決済の提供を一時停止したが、その後セキュリティ調査会社により安全性が確認されたとして7月22日よりカード決済を再開。被害者への謝罪として、8月6日から10月31日まで「アウトドア&フィッシングナチュラム」において5%の割引を行う。

(Security NEXT - 2008/08/06 ) このエントリーをはてなブックマークに追加

PR

関連記事

メガネブランド「Zoff」のインターメスティックがランサム被害
小学校教員がフィッシング被害、クラウドにスマホ同期の業務画像 - 生駒市
会議室予約システムに不正アクセス、予約者情報流出の可能性 - 慶大
関西エアポート関連サイトに不正アクセス - 個人情報流出の可能性
ファイル送受信機器にゼロデイ攻撃、情報流出の可能性 - 内閣府
通販サイト「ゆとりの空間」、クレカ情報も被害
カプコンへの不正アクセス、侵入経路は予備に残した以前のVPN機器
履歴書など会員の個人情報が流出、詳細は調査中 - 副業支援サイト
カステラ通販サイトに不正アクセス - クレカ情報流出の可能性
違反取締計画が流出、複数SNSに投稿 - NEXCO西日本