模型のオンラインショップ「HOBBY SEARCH」を運営するホビーサーチ(東京都台東区)は10月28日、同社サイトが韓国からの不正アクセスを受け、顧客のカード情報が流出した可能性があることを明らかにした。
同社の発表によると、10月6日に同社システム担当が韓国からの不正アクセスの痕跡を発見。同日夜に第三者のセキュリティ専門会社に調査を依頼し、翌7日よりシステムを停止して緊急メンテナンスを実施した。
同日、クレジットカード情報流出の可能性が高いことがわかり、流出項目等の調査を開始。20日に調査結果を得て、これを元に該当顧客へ順次メール連絡を開始した。
不正アクセス発覚から公表まで時間がかかったのは、この調査と、各カード会社と連携して問合わせに応じる体制を整えるためだったという。
●流出の可能性があるカード情報
同社は今年7月7日以降にカード番号の下4桁のみ保持する新システムに移行している。また、同社では商品出荷後1年以上経過した時点でカード情報の自動削除が行われている。このため、今年7月7日以降に利用されたカードの場合、流出番号は下4桁のみとなる。また、2010年7月6日以前の利用でも商品出荷後1年以上を経過している場合は削除されているので流出対象とならない。それぞれの発表流出数は次のとおり。
<流出の可能性があるカード番号>
・2010年7月6日以前(最大2万3526件):未出荷分と出荷後1年以内のカード番号全桁
・2010年7月7日以降(最大3794件):下4桁のカード番号
流出情報は上記のカード番号の他に、有効期限と顧客名義が含まれる。それ以外のカード情報や個人情報(住所、メールアドレス)は流出していない。
---
専門会社の調査により、韓国のある大学のネットワークから何者かが同社システムの脆弱性を突いて不正アクセスを行ったことが判明している。同社は大学側に犯人の特定とすべての流出情報の回収を強く要求しているという。
同社はセキュリティ対策として、保持していたカード情報を全て削除し、カード決済システムを中止した。また、全プログラムの入れ替え、全マシンのパスワード変更、ファイヤーウォール強化などを実施。情報流出の該当顧客には、クレジットカード各社と情報を共有し、迷惑がかからないよう協調して対応していくとしている。
(2010/11/02 ネットセキュリティニュース)
■ホビーサーチ社のリリース
・不正アクセスによる顧客情報流出の可能性について
http://www.1999.co.jp/info_card.html
・不正アクセスについてのQ&A
http://www.1999.co.jp/info_card_qa.html