楽器・音響機器販売のサウンドハウス(千葉県成田市)の通販サイトが不正アクセスを受け、クレジットカード情報を含む顧客情報が流出した問題で、同社は18日、改めて謝罪するとともに、今後の補償とこれまでの経緯についての詳細を公表した。
流出した顧客情報は既報のとおり、のべ数で最大9万7,500名だが、実際に流出した個人が特定できないため、流出した可能性がある2007年1月1日~2008年3月22日までに新規会員登録を行った全顧客12万2,884名に対し、商品購入代金に充当できる1,000円相当のクレジットを進呈。カードの不正使用などでカード会社の補償が受けられなかった場合には、同社が対処するとしている。また、クレジットカードが使用できずに不便を与えているとして、商品購入代金の3%を次回の購入時に利用できるリベートプログラム(カード決算の停止を受けて3月末から「リベートキャンペーン」と称して実施していたもの)を、4月30日にまで実施するとしている。
■中国のブログで公開されていたサウンドハウス攻撃マニュアル
同日公表された22ページのPDFファイルには、カード会社にハッキングの可能性を指摘された3月21日から、経済産業省へ報告書を提出した今月16日までの仔細がまとめられており、事後処理の現場を知る上での貴重な資料になるだろう。
同社によれば、今回の情報流出はウェブサーバーに置かれた悪質なプログラムを使用しての抜き取りだったという。ところが、この悪質なプログラムが作成された形跡は見当たらず、おそらくは2006年6月にSQLインジェクションを使用して、外部からデータベースサーバーを直接操作するためのバックドアを作ったのではないかと推測。その根拠として、2006年6月29日に同社サイトに侵入したと書かれた、中国のブログを挙げている。
ネット掲示板でも話題に上っていた「日本サイトへの最初の侵入」と題された当該記事には、SQLインジェクションツールを使って同社サイトの脆弱性を探し出し、外部から侵入できるようにするまでの手順が紹介されていた。
同社は、このバックドアを利用して社内の別のサーバーにアックドアを仕掛け、そこから同年7月、同社サイトにファイルを設置。その内容が今年2月に中国のウェブ改ざん情報に掲載されたため、これが呼び水となり、バックドア経由で顧客情報の抜き取りに使われたプログラムが作られたのではないかと推測している。
当該プログラムは、3月11日夜から翌日深夜かけて4,875回起動され、2007年と2008年に新規登録した顧客情報を20件ずつ、計9万7,500件がデータベースから抜き取られた。ネット上では、ゲームサイトで数万~数十万円使われたという報告がいくつか上がっており、足のつきにくいゲーム内通貨やアイテムなどを購入・転売したものとみられる。
(2008/4/23 ネットセキュリティニュース)
■サウンドハウスのリリース
・不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ(サウンドハウス)
http://www.soundhouse.co.jp/shop/News.asp?NewsNo=1561
・詳細[PDF](サウンドハウス)
http://www.soundhouse.co.jp/news/20080418.pdf