「対策を行っていた」通販サイトからSQLインジェクションでクレジットカード情報が流出。
通販サイトからカード番号流出:利用明細に注意! : サイバー護身術 : セキュリティー : ネット&デジタル : YOMIURI ONLINE(読売新聞)
アイリスプラザによれば、クレジットカード番号の流出がわかったのは2008年6月6日のこと。カード会社から「オンラインゲームなどでクレジットカード番号が不正利用された痕跡があり、アイリスプラザからの流出の可能性がある」と指摘があった。調査したところ、2008年3月3日から5月30日にかけて、中国のIPアドレスからSQLインジェクション攻撃があったことがわかった。アイリスプラザでは、2006年ごろからSQLインジェクションへの対策を行っていた。そのためパソコン向けのウェブサイトでは被害は出ていないそうだ。アイリスプラザによれば「以前に携帯電話向けの通販サイトを準備していたが、公開せずに中止していた。SQLインジェクション攻撃の被害にあったのは、この携帯電話向けサイト。消去せずに残していたことが問題だった」とコメントしている。表からは見えない携帯電話向けサイトが存在していて、それが犯人に狙われたことになる。
カード流出事件を受けて、アイリスプラザではお詫びの文章と経緯を説明するFAQなどをウェブサイトに掲載している(「◆情報流出によるお詫びとご説明」) アイリスプラザによれば流出した可能性があるのは、クレジットカード番号28,105件と、カードの有効期限987件。クレジットカードのパスワード、氏名・住所などは流出していないそうだ。パスワードがわからなければ不正利用は起きにくいはずだが、オンラインゲームなどで不正利用された痕跡がある。
Leave a comment