アウトドア用品サイト「ナチュラム」に不正アクセス - 最大65万件の個人情報が流出

ミネルヴァ・ホールディングス（旧ナチュラム）の子会社であるナチュラム・イーコマースが運営しているショッピングサイトが、不正アクセスの被害に遭い、カード情報を含む最大約65万件の個人情報が流出したことがわかった。

同サイトのメンテナンス用サーバが、外部からの不正アクセスによりバックドアを設置されたもの。PC向けサイト「アウトドア＆フィッシングナチュラム」をはじめ、携帯電話向けサイト「ナチュラムモバイルショップ」、会員向けブログサービス「blog@naturum」の3サイトが利用する顧客データベースが外部から閲覧されたという。

7月9日、同社に対しクレジットカード会社からカード情報の流出について調査依頼があり、7月10日に不正アクセスが発覚。7月18日に個人情報へのアクセスが確認された。流出規模はわかっておらず、データベースに保存されていたカード情報8万6169件を含む最大65万3424件の個人情報が流出した可能性がある。

流出した個人情報の内容は、2000年5月から2008年7月10日までに同サイトへ会員情報を登録した顧客情報で、氏名や住所、メールアドレス、ユーザーID、パスワードのほか、任意で登録が行えた電話番号やファックス、家族構成、性別など含まれる。またクレジットカード情報は、カード名義や有効期限、カード番号の一部が記録されていた。

データベースへのアクセスは、SQLインジェクション攻撃によるものではないが、サーバへ不正に侵入する過程で同攻撃が利用された可能性が高いという。

同社では、8月6日の事件公表に合わせ、顧客に対してメールにより事件について説明を行い、パスワードの変更を依頼した。現在警察へ捜査協力を行っており、PCI DSSへの準拠などセキュリティ強化を進める。

また同社は、不正アクセスが発覚した7月10日に保有するカード情報を削除、カード決済の提供を一時停止したが、その後セキュリティ調査会社により安全性が確認されたとして7月22日よりカード決済を再開。被害者への謝罪として、8月6日から10月31日まで「アウトドア＆フィッシングナチュラム」において5％の割引を行う。

（Security NEXT - 2008/08/06 ）ツイート

アウトドア用品サイト「ナチュラム」に不正アクセス - 最大65万件の個人情報が流出

関連リンク

PR

関連記事