ホームページからの個人情報流出が相次ぎ公表された。釣り具店「フィッシングタックルオンライン」では、不正アクセスを受けてクレジットカード情報を含む個人情報が流出。カー用品の「オートバックス・ドットコム」では、特定の操作で個人情報が閲覧可能な状態になっていた。
■フィッシングタックルオンライン
釣り具の通販サイトを運営するフィッシングタックルオンライン(大阪府吹田市)は22日、同社のWebサイトが不正アクセスを受け、クレジットカード情報を含む顧客情報が流出したと発表した。
発表によると、流出した可能性があるのは、2009年8月2日~2011年1月19日の間に、同社Webサイトで商品を購入した顧客の購入情報1万5360件で、ID 、暗号化されたパスワード、氏名、メールアドレス、住所、電話番号が記録されている。同社のシステムは、商品の出荷処理時にクレジットカード情報を自動的に削除する仕組みになっていたが、出荷前の168件については、カード会社名、番号、有効期限、名義人が削除されずに残っており、これを含む最大3321件のクレジットカード情報が流出した可能性がある。
今年1月18日、顧客からクレジットカードの不正使用について問合わせがあり調査したところ、システム内にスパイファイルらしきファイルが見つかった。同社は、クレジット会社にカード情報流出の可能性があることを報告するとともに、セキュリティ専門会社による調査を実施した。その結果、海外からメンテナンス用の管理画面を悪用したSQLインジェクション攻撃を受け、データベースの購入情報を閲覧する機能を持った不正なプログラムが設置されていたことがわかった。
同社では、不正なプログラムの排除や侵入経路の遮断といった防止策をとっており、PayPalのクレジット決済のみを利用することによって、サイト内にクレジットカード情報を持たないシステムに修正。今後は、アプリケーション・ファイアウォールを導入するなどの、さらなるセキュリティ強化策を予定している。
流出した可能性のあるクレジットカード情報については、同社からカード会社に不正使用のモニタリングを要請しているが、カード決済で購入した覚えのある方は、利用明細を確認するようおすすめする。また、メールアドレスとパスワードがセットで流出している可能性があるので、同じ組み合わせで登録している他のサイトがある場合には、念のためそれらサイトのパスワードを変更しておくことをおすすめする。
■オートバックス・ドットコム
カー用品店「オートバックス」などを運営するオートバックスセブン(本社:東京都江東区)は25日、同社が運営するWebサイト「オートバックス・ドットコム」の「お問い合わせ」ページで、個人情報が閲覧可能な状態になっていたと発表した。
発表によると、閲覧可能だったのは、2006年11月17日午前2時頃~2011年3月24日午後4時頃の間に、同ページの入力フォームを使って同社に問い合わせした顧客の氏名、メールアドレス、電話番号、住所、通販利用者の注文番号、顧客の車情報など。
今月24日に、顧客から指摘があり調査したところ、同ページで特定の操作を行うと個人情報が閲覧できることが判明した。同社は、同日午後4時頃にサイトを一時閉鎖し、個人情報を閲覧できないようプログラムを修正。午後10時頃に運営を再開した。
同社では現在、リニューアルオープンした2006年11月17日以降に問い合わせがあった全顧客を対象に、閲覧された可能性について特定作業を行っており、特定が出来次第、該当者に連絡するとしている。
(2011/03/28 ネットセキュリティニュース)
【関連URL】
・弊社サイトへの不正アクセス発生についてご報告とお詫び(フィッシングタックルオンライン)
http://www.bun2.jp/report/news_d.html
・お客様情報流出の可能性についてのご報告とお詫び[PDF](オートバックスセブン)
http://www.autobacs.co.jp/ja/20110325.pdf
・オートバックス・ドットコム
http://www.autobacs.com/