テニス用品の通販サイト「テニスギア」を運営するスポーツギア(東京都渋谷区)は23日、同サイトが不正アクセスを受け、クレジットカード情報263件が流出したと発表した。
発表によると、流出したのは、同サイトがクレジットカード決済に対応した今年2月10日~5月16日の間に、同サイトでクレジットカード決済を利用した顧客263名分のカード番号、有効期限、セキュリティコード。うち10名分は同社の関係者で、5名分は有効期限が切れていたという。
今年5月下旬、クレジットカードの不正使用に関する複数の照会を受け調査したところ、5月14~16日にかけて主に中国を中心とする内外のIPアドレスから、データベースを不正に操作するSQLインジェクション攻撃を断続的に受けていたことが、同月23日に判明した。
流出したカード情報は、同サイトの受注データに含まれていたもので、同社では、カード情報をデータベースに保存しない方式に改めるとともに、不正アクセス対策、SQLインジェクション対策を施し、6月17日にカード会社が指定する調査機関に調査を依頼。先月28日に調査報告を受け、今月15日に調査機関の指導に従ったシステム改善を完了した。
なお、不正アクセスによる流出が確認されたのは、同サイトのみで、他の同社関連サイトでは確認されなかったという。
【解説:クレジットカード情報が流出すると、公表は遅れる傾向に】
今回の不正アクセスは、同社が事態を把握してから2か月以上経ってからの公表と、非常に時間がかかっている。そこで、編集部が集めた過去5年分の不正アクセスによる情報流出事例の中から、発覚から公表に至るまでの経緯が詳しく述べられているもの57件を抽出し集計してみたところ、公表までの平均日数は33日間となった。
57件の事例のうち、流出情報にクレジットカード情報を含んでいなかったものは27件、含んでいたものは30件。これらを個別に集計したところ、含んでいなかった場合の公表までの平均日数13日間に対し、含んでいた場合には48日間と、ひと月以上の開きがあることがわかった。カード情報を含んでいた場合に共通しているのは、公表前にカード会社が指定する外部機関などによる調査を行い、流出したカード情報の特定とカード会社へのフィードバックというプロセスを経ており、この辺が公表の遅れる要因になっているようだ。
(2011/08/26 ネットセキュリティニュース)
【関連URL】
・不正アクセスによる情報漏えいのお詫びとご報告(テニスギア)
http://www.tennis-gear.net/notice/illegalaccess2011.html