Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

カード情報約3万件がSQLインジェクションで流出 - アイリスオーヤマ子会社

アイリスオーヤマの子会社で、ネットショップを展開するアイリスプラザが、不正アクセスを受け、クレジットカード情報が外部へ流出したことがわかった。

流出した情報は、2007年6月1日から2008年6月6日までに同社ウェブサイトで利用されたカード番号2万8105件で、987件については有効期限も含まれていた。ただし、氏名やメールアドレスは流出していないという。

流出の原因は、中国が発信元となったSQLインジェクション攻撃で、同社によれば、ウェブサイトについてはSQLインジェクション対策を実施していたものの、一部利用していない未対策のプログラムが狙われた。

6月6日にカード会社からカード情報の流出について指摘があり、アクセスログを調べたところ不正アクセスの形跡から事件が発覚。同月中旬よりセキュリティ事業者をまじえたログの分析を開始した。同月末になってカード情報が流出したことが判明した。情報が不正に利用されたとの報告は受けていないという。

今回、事故発覚から公表まで1カ月半の時間が経過したことについて、流出データの特定に時間がかかったと同社では釈明。関連する顧客に対しては7月23日にメールで経緯を報告した。

メールで連絡が取れない顧客については、書面や電話で対応する。また顧客に対して、パスワードの変更やカードの差し替えなど対策を実施するよう呼びかける。

(Security NEXT - 2008/07/23 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

研究参加者のメアドが流出か、SQLi攻撃の痕跡 - 統数研
SQLi攻撃で顧客情報流出、顧客に脅迫メールも - アパレルブランド
資格検定申込サイトへSQLi攻撃 - メアド流出の可能性
経産省、メタップスPに行政処分 - 診断で脆弱性見つかるも報告書改ざん
問合システムにブラインドSQLi攻撃、メアド流出の可能性 - 名古屋大
サーバに大量のSQLi攻撃、メアド流出か - エフシージー総研
ほくせんカードの会員サイトにSQLi攻撃 - 顧客情報4.4万件が流出の可能性
SQLi攻撃でメールアドレスが流出か - アウトドア用品企画会社
メタップスP、クレカ情報など最大約46万件が流出か - 不正ログインやSQLi攻撃で
日能研のウェブサーバに不正アクセス - SQLi攻撃でメルアド流出か