ウェブシャーク、カード情報98件へのアクセスを確認 - 事情説明メールで混乱も

ウェブシャークが運営するウェブサイトに不正アクセスがあり、個人情報が外部へ流出した問題で、同社は詳細を明らかにした。

同社によれば、不正アクセスを受けたのは、同社が運営するショッピングモール「ストアミックス」および「ドクタートニー」。

2011年11月14日から同月30日にかけて中国のIPアドレスより断続的に攻撃があり、サーバにバックドアがアップロードされたもので、同プログラムを通じてデータベースに対する「SQLインジェクション攻撃」が行われたという。

同攻撃を通じて、ウェブサーバ内に保存されていた決済代行会社との通信ログにアクセスがあり、オンラインショップにおける受注時のクレジットカード情報98件に窃取された痕跡が残っていた。クレジットカード番号やカード名義、有効期限が含まれる。

ウェブサーバの通信ログには、9万4243件の情報が含まれ、これらも不正に取得された可能性があるとして経済産業省へ届けた。同省では個人情報保護法に基づき、原因や対応状況など詳細を報告するよう求めている。

また同社は同サイトでクレジット決済を利用した顧客に対し、事情を説明するメールを送信し、不正利用がないかカードの利用明細を確認するよう注意呼びかけている。

一方今回の件で、顧客向けに送信されたメールの受信者間で「登録した記憶がない」「購入した心当たりがない」など、一部で不安の声があがっている。メールは同社から送られており、購入した店舗名などの記載はなかった。

同社に対しても多数の問い合わせが寄せられており、こうした声に対して同社は、過去10年にわたりサイトを運営しており、利用経験がある顧客全員へメールを送信したと説明。

利用から時間が経過していたり、ショッピングモールの名称に聞き覚えがないと感じている可能性があるとして、疑問がある場合は購入情報の調査などメールで対応するとしている。

（Security NEXT - 2012/11/02 ）ツイート