ニュース

古着ショップ「RAGTAG」のサーバーに不正アクセス、3万人の会員情報流出

 株式会社ティンパンアレイは9日、同社が運営する古着通販サイトなどで利用している外部サーバーに不正アクセスがあり、会員のメールアドレスやパスワードなどの情報が流出したと発表した。SQLインジェクション攻撃とみられている。

 同社は、ブランド古着ショップ「RAGTAG」などを運営している会社。会員情報が流出したのは、公式通販サイトである「RAGTAG Online」はじめ、その買い取りサイトやお直しサービスサイトなど4つのサイト。5月7日1時59分までに会員登録した計3万568人のメールアドレス、パスワード、一部会員の会員IDが含まれる。なお、氏名、住所、クレジットカード情報の流出は確認されていないという。

 5月6日23時ごろから7日1時59分までの間に不正アクセスがあり、会員情報が外部に流出したことを、業務委託先のサーバー管理業者から連絡を受けて判明した。データベースに対するSQLインジェクション攻撃によって会員情報が流出した可能性が高いという。なお、不正アクセスの痕跡を発見した後、速やかにウェブシステムのセキュリティの見直しを行い、プログラム修正を実施したとしている。

 ティンパンアレイでは再発防止に向け、今後はデータベース内に保存されたパスワードは暗号化し、外部機関によるさらなるセキュリティ安全性診断を実施するとしている。

 また、会員に対して謝罪するとともに、メールアドレスとパスワードが悪用される可能性を考え、同社サイトや他社サービスで登録されているパスワードの変更を呼び掛けている。

(永沢 茂)