ゲーム情報サイト「GAME CITY」を運営するコーエーテクモゲームス(本社:横浜市)は20日、同サイトが複数回にわたる不正アクセスを受け、サイトに登録されていたユーザーの個人情報が漏えいしていたことを明らかにした。
同社の発表によると、4月16日に不正アクセスの形跡を発見し、ただちに調査を開始した。3月25日から4月15日にかけて、断続的に不正アクセスが行われていたことが判明し、さらに過去に遡って調査を進めたところ、昨年6月10日から19日にも同様の不正アクセスを確認した。
社内調査と並行して第三者機関によるセキュリティ調査を実施し、この不正アクセスがSQLインジェクション攻撃によるものであることと、ユーザーの個人情報漏えいが明らかになった。
同社は、不正アクセスの発覚から発表までに日時を要したのは、これらの徹底的な調査および不正アクセス防止策措置を行っていたためとしている。防止措置は発覚翌日の4月17日に完了、5月11日には警察に被害届も提出している。
一連の不正アクセスによって漏えいした個人情報は、クレジットカード番号16名分(うち7名分は有効期限を含む)、メールアドレスおよびサイトのパスワードなど1807名分、電話番号や郵便番号など8名分、合わせて1831人分だ。いずれも氏名情報は含まれていないという。
同社は現在、当該ユーザーに個別メールで個人情報漏えいの連絡を行うと同時に、心当たりのないクレジットカード請求の有無など利用明細の確認、およびメールアドレスや電話番号漏えいの被害対策を呼びかけている。
【SQLインジェクション攻撃とは】
SQLインジェクション攻撃は、サイトにつながっているデータベースに対する不正操作を許してしまうWebアプリケーションの脆弱性を狙った不正アクセスだ。データベースへの問い合わせ文を組み立てたり実行したりする処理言語のSQLに悪意のある不正な文字列が挿入され(injection)、データが不正な内容に改ざんされたり、今回のように情報を盗まれたり、直近で発生した2件のようにサイトを改ざんされたりする。サイトが改ざんされた場合には、改ざんサイトから、ユーザーのパソコンの脆弱性を狙う攻撃コードが仕掛けられた不正なサイトに自動的に誘導されて被害が拡大する。
--
SQLインジェクション攻撃による不正アクセスをめぐっては、6月にアニメ等のキャラクターグッズを販売しているキャラアニのサイトが改ざんされ、今月8日にもホビージャパンが運営しているアニメやフィギュア関連の情報サイト「とれたて!ほびーちゃんねる」が改ざんされている。
サイト管理者はもちろんのこと、一般ユーザーも更新プログラムの適用などを怠らず、セキュリティ対策に努めたい。
(2010/07/23 ネットセキュリティニュース)
■コーエーテクモホールディングスのリリース
・不正アクセスによるお客様個人情報漏洩のお詫びとご報告[PDF]
http://www.koeitecmo.co.jp/php/pdf/news_20100720.pdf
・不正アクセスによるお客様個人情報漏洩に関するご質問と回答 [PDF]
http://www.koeitecmo.co.jp/php/pdf/news_20100720_01.pdf
【関連記事:ネットセキュリティニュース】
・「とれたて!ほびーちゃんねる」、SQLインジェクション攻撃受け改ざん(2010/07/12)