生活用品の企画、製造、販売を展開するアイリス(本社:仙台市青葉区)は23日、同社が運営するショッピングサイト「アイリスプラザ」が中国からSQLインジェクションによる不正アクセスを受け、顧客のクレジットカード情報2万8105件が流出した可能性があることを明らかにした。
同社の24日の発表によると、先月6日にカード会社から連絡があり、顧客のカード情報流出の可能性が発覚した。同社はアクセスログを緊急調査し、外部から不正アクセスされた形跡を発見。当該ページを閉鎖し、同月17日に第三者機関のセキュリティ専門会社に委託してログ分析を開始した。
その結果、昨年6月1日~今年6月6日までにアイリスプラザを利用した顧客のうち、クレジットカード番号2万8105件(そのうち987件は有効期限含む)が漏えいした可能性があることが判明した。その他の氏名やパスワードなどの情報流出はない。また、流出したカード情報からメールアドレスや氏名など個人の特定はできないという。
今回の不正アクセスに用いられたSQLインジェクションとは、データベースへのリクエスト(SQL:Structured Query Language~データベースの処理言語)の中に不正な文字列を挿入(injection)し、外部からデータベースを操作する手法。通販サイトのショッピングカート等のWebアプリケーションの脆弱性を悪用して行われ、攻撃が成功すると、データを盗まれたり書き換えられる可能性がある。今年4月に明らかとなったサウンドハウスの顧客情報流出事件も、SQLインジェクションによるものだった。
同社は、不正アクセス対策としてSQLインジェクション対策はしていたが、使われていない古いプログラムは対策していなかったという。今回はその古いプログラムの対策されていない脆弱性を突いて攻撃が行われたものとみられる。
同社は専用問合わせ窓口(コールセンターおよびメール)を設置した。現在までのところ、顧客から流出データを不正利用されたとの連絡や問い合わせはないという。同社は各カード会社と連携して不正利用がなされないように対策している。また、カード番号を起点に該当顧客を特定して23日に電子メールを送信、手紙でも順次連絡をとっていく。
現在は24時間対応でアクセスログを監視するなど十分な整備を完了しており、今後も安全確保に全力を注いでいくとしている。
(2008/07/24 ネットセキュリティニュース)
■お詫びとご説明(アイリスプラザ)
http://www.irisplaza.co.jp/apology.html
■これまでの経緯(アイリスプラザ)
http://www.irisplaza.co.jp/keii.html
■アイリスオーヤマ
http://www.irisohyama.co.jp/
■アイリスプラザ
http://www.irisplaza.co.jp/