今月6日に公表された「モンベル・オンラインショップ」の不正アクセス事件で、同社は24日、流出件数などの調査結果を公表。昨年発覚したアリコジャパンの問題で、金融庁はこの日、同社に対し行政処分を行った。
■モンベル、SQLインジェクションでカード情報1万1446件流出
アウトドア用品のモンベル(本社:大阪市西区)のWebサイトが不正アクセスを受け、オンラインショップ利用者のクレジットカード情報が盗まれた可能性があった問題で、同社は24日、被害状況が判明し警察に被害届を提出したことを明らかにした。
同社の発表によると、流出したのは2009年11月1日午前0時~2010年1月26日午前6時37分の間に、同社オンラインショッピングでクレジットカード決済を利用した顧客のクレジットカード番号と有効期限、1万1446件。流出したのはクレジットカード情報だけで、住所や電話番号、メールアドレスなどの個人情報の流出はないという。中国のIPアドレスから、データベースを不正に操作するSQLインジェクション攻撃が行われ、盗み取られたらしい。
23日に盗み取られたクレジットカード情報と顧客の特定作業を終え、警察に被害を申告。この日、被害届を提出した。
■金融庁がアリコジャパンに行政処分
外資系生命保険会社のアリコジャパン(本社:東京都千代田区)から契約者のクレジットカード情報が流出した問題で、金融庁は24日、同社に対し保険業法に基づく業務改善命令を出すとともに、個人情報保護法に基づく勧告を行った。
この問題は昨年7月、カードの不正使用で発覚。これまでの調査で、中国の委託先社員に付与したアカウントで米国のホストコンピューターにアクセスし、3万2359件の顧客情報が持ち出されたものと同社ではみているが、いまだに流出した顧客情報の具体的な範囲や実行者の最終的な特定には至っていない。不正使用の疑いがあるとしてカード会社から照会があった件数は、今年に入ってからも約50あり、累計は6592件にのぼる。
金融庁は、ホストコンピューターへのアクセスに使用するIDとパスワードを担当者間で使い回しするなど、個人顧客情報管理がずさんで情報漏えいが起こりやすい状況にあり、実行犯の特定を困難にする問題にもつながったと指摘。同社にも個人顧客情報の管理態勢に重大な不備があったとして、委託先を含めた再発防止策の実施と検証、原因究明、経営陣を含む責任の所在の明確化などを求めた。
(2010/02/26 ネットセキュリティニュース)
【関連URL】・不正アクセスによる情報漏えいのお詫びとご報告(モンベル)
http://www.montbell.jp/details/index.html
・アリコジャパンに対する行政処分について(金融庁)
http://www.fsa.go.jp/news/21/hoken/20100224-1.html
・弊社に対する行政処分等について(アリコジャパン)
http://www.alico.co.jp/about/press/10_0224.htm