通販サイトなどの運営会社オズ・インターナショナルは20日、同社の運営するネットショップが不正アクセスを受け、顧客情報が流出したと発表した。流出件数は最大で2万件の可能性があり、クレジットカードの不正使用も確認されている。
発表によると、同社運営のネットショップ「アイドラッグストアー」と「アイビューティーストアー」が、今年1月と3月に中国からSQLインジェクションによる不正アクセスを受けた。顧客のクレジットカード番号と有効期限の組みあわせが一部流出し、同時に氏名、住所、ログインパスワード、メールアドレス、電話番号も流出。クレジットカードはオンラインゲームでの不正使用が確認されている。
同社は事態発覚後、顧客のクレジット情報を削除し、ハードウエアやソフトウエアを導入してセキュリティの強化を行った。カード情報漏えいの可能性があるすべての顧客に対し、メールで今回の事態を説明。また、顧客に対しては、パスワードの早急な変更と、心当たりのない請求があった場合はカード会社に連絡するように呼びかけている。同社は、カードの不正使用があった場合は、すべて弁償するとしている。
一方、クレジットカード会社もこの事態を受け、該当する顧客に連絡と説明を開始するとともに、心当たりのない請求があった場合は照会するよう呼びかけている。
SQLインジェクションによる不正アクセスでは、先月、サウンドハウスで同様の事故が起きたばかり。このときはクレジットカード情報を含む顧客情報9万7,500件が流出した。同様にSQLインジェクションによってデータベースから顧客情報が漏えいする事件は、2005年から2006年前半にも多発していた(下記「関連記事」参照)。
今年に入り、SQLインジェクションによる大規模な正規サイト改ざんが猛威をふるっているが、今回とサウンドハウスの事件は、SQLインジェクションによってSQLサーバーのコマンドプロンプトを動かす機能を悪用されたもの。
(2008/05/21 ネットセキュリティニュース)
■不正アクセスに関するお詫びとお知らせ(オズ・インターナショナル)
http://www.ozinter.com/oshirase.asp
■不正アクセスに関するお詫びとお知らせ(アイドラッグストアー)
http://www.idrugstore.com/news_security.asp
■不正アクセスに関するお詫びとお知らせ(アイビューティーストアー)
http://www.ibeautystore.com/news_security.asp
■カード会社の告知文
・「株式会社オズ・インターナショナル」からの個人情報漏洩の可能性について(三菱UFJニコス)
http://www.cr.mufg.jp/info/2008/080520_01.html
・クレジットカード加盟店「株式会社オズ・インターナショナル」からの個人情報漏洩の可能性について (三菱東京UFJ銀行)
http://www.bk.mufg.jp/info/080520_oz.html
・「アイドラッグストアー」 「アイビューティーストアー」における
カード情報の流出について(OMCカード)
http://www.omc-card.co.jp/news080520_atention.html
・DCカード
http://www.dccard.co.jp/