絵本情報サイトや絵本ショップなどを運営する絵本ナビ(本社:東京都渋谷区)は13日、顧客や会員のユーザーID(メールアドレス)とパスワード2万7469件が4月6日に流出していたと発表した。同社のサイトは6月20日、不正アクセスにより一部ページを改ざんされており、この件について調査する中で流出が発覚したという。
同社によると、「絵本ナビ」「絵本ナビショップ」「絵本クラブ」の3サービスについて、ユーザーIDとパスワードが流出した。同社では、ユーザーIDとして顧客のメールアドレスを使用している。SQLインジェクションによって、サーバーに置かれていたデータの一部を不正に取得されたもので、同社ではデータに暗号化などの処置を施していなかった。顧客の氏名やクレジットカード情報は流出していない。現在のところ、流出したデータが不正使用されたという報告は、入っていないという。
同社は、流出したパスワードを強制変更する措置をとり、13日午後、流出の対象となった顧客に対し、事態報告および謝罪のメールと、パスワード変更について通知するメールの計2通を送った。また、ユーザーID(メールアドレス)とパスワードを同じ組み合わせで他のサイトに登録している場合、成りすまして利用される可能性があるとして、これらの変更を推奨している。
6月20日に発生したページ改ざんは、SQLインジェクションによりページに不正ファイルを埋め込まれ、閲覧者がウイルスに感染するおそれがあったというものだが、今回発覚した情報流出とは無関係だという。
情報流出発覚から正式な発表まで時間が開いたことについて同社は、システムセキュリティの改善対処が終了していない時点での公表により、二次被害の発生が懸念されたためだとしている。また、流出発覚後にサイト閉鎖の措置をとらなかったことについては、アクセスログをすべて監視することにより、顧客情報の保全を図っていたことによるとしている。同社は、今回の不正アクセスに対する対策は完了しているとし、再発防止のため、セキュリティシステムを強化していくとしている。
(2008/08/14 ネットセキュリティニュース)
■「不正アクセス発生に関する調査報告と情報漏えいのお詫び」に関するFAQ(絵本ナビ)
http://newblog.ehonnavi.net/2008/08/faq.html
■不正アクセス発生に関する調査報告と情報漏えいのお詫び(絵本ナビ)
http://newblog.ehonnavi.net/2008/08/post_32.html