電子楽器を扱う「Mandarin Electron Webショップ」を運営するマンダリンエレクトロン(静岡県浜松市)は12月30日、同ショップが不正アクセスを受け、顧客情報が漏えいしたおそれがあると発表した。
同社によると、11月9日、ショッピングカートシステムを動かすための基幹プログラムと、顧客データ、受注データが消失し、管理者権限を持つアカウントが勝手に作られていたことが判明。ショップを閉鎖し、調査を行ったところ、カートシステムの脆弱性を突かれて不正アクセスを受けていたことがわかった。不正アクセス元は、特定できなかった。
流出した可能性のある個人情報は、同ショップでアカウントを作成したり、注文をした顧客の氏名、住所、電話番号、メールアドレス、ID、注文履歴。クレジットカード情報は流出していない。パスワードについては、暗号化して保存されていたため、そのままの状態では流出していないが、同社では、他のサービスで同じIDとパスワードを使用している場合、念のため不正使用がないか確認してほしいとしている。
同社によると、同ショップではオープンソースのカートシステムを利用していたが、脆弱性の報告を見逃し、アップデートパッチを適用していなかった。
同社では、当該カートシステムとデータベースをすべて削除し、管理パスワードを変更。ボットプログラム潜伏の可能性を考慮して端末パソコンをクリーンインストールする、使用モジュールをアップデートするなどの対策をとった。また今後、カートシステムを外部の信頼できるASPに委託するなど、よりセキュリティの高い方式に移行した上で、新ショップを開店する予定。
(2011/01/13 ネットセキュリティニュース)
■Mandarin Electron Webショップにおける障害発生と、個人情報漏えいに対するお詫びとご報告(マンダリンエレクトロン)
http://mandarinelectron.com/modules/bulletin/index.php?page=article&storyid=167