カード情報流出の経緯を分刻みで説明 サウンドハウス、1人1000円分のポイント付与 - ITmedia News
運営するECサイトが不正アクセスを受け、顧客のクレジットカード情報などが流出したサウンドハウスは4月18日、流出した可能性がある12万2884人に1000円相当のポイントを付与すると発表した。補償の対象となるのは、昨年1月1日から今年3月22日までに会員登録した全ユーザー12万2884人。実際に流出したのは9万7500人だが対象ユーザーが特定できないため、流出した可能性がある全ユーザーを対象にした。補償対象のユーザーが商品を購入した際、代金の3%を還元するポイントプログラムも4月30日まで実施する。
この、対象ユーザーを特定できないことが、DB監査ログにレスポンスも残すようになってきてる原因。
犯人は06年6月にSQLインジェクションを利用し、データベースサーバを直接操作するためのバックドアを作成。このバックドアを利用し、さらに別のサーバにバックドアを埋め込み、悪性プログラムを置いた、と見ている。攻撃は、中国国内の複数のIPアドレスから仕掛けられていた。中国のブログに06年、同社のサイトへの攻撃マニュアルが掲載されていたことも分かったという。
Leave a comment