Internet Watch logo
記事検索
最新ニュース

丸紅インフォのカード情報漏洩、原因はSQLインジェクション対策の不備


 丸紅インフォテックは11日、同社が運営するショッピングサイト「@SOLA ショップ」の顧客データに外部から不正アクセスがあり、個人情報が漏洩した事件に関する調査結果を公表した。漏洩原因については、SQLインジェクションとWebコンテンツ更新用FTPサーバーの複合的な事象により漏洩した可能性が高いとしている。

 サイト運用を委託しているトランスコスモスと第三者調査機関の調査によれば、@SOLA ショップでは開設当初からSQLインジェクション対策を実施していたが、その対策に脆弱性があったと指摘。その結果、不正アクセスを完全に排除できず、個人情報を含む情報がエラーログとしてFTPサーバーに出力されていたとしている。FTPサーバーへの不正アクセスに関しては、アクセス制御が破られたことが想定されるという。

 これまで運用していた@SOLA ショップのシステムについては、完全に廃棄する。@SOLAショップの顧客情報に関しては、現在、外部から完全に隔離された状態で厳重に保管し、警察等による被害調査および顧客からの問い合わせ対応のみに使用しているが、今回の事件の対応が完了した時点ですべて廃棄・消去するとしている。

 今回の個人情報漏洩事件では、2005年6月13日から2007年7月28日にかけて海外からの不正アクセスを受け、22回におよぶ個人情報漏洩の痕跡が発見された。トランスコスモスの報告によれば、氏名、住所、電話番号、メールアドレス、会員ID、パスワードなどを含む13,670人分の顧客情報が漏洩した可能性がある。うち13,252人分については、クレジットカード番号やカードの有効期限情報も含まれていた。

 丸紅インフォテックでは、2年間にわたり不正侵入を許してしまった理由について、「@SOLAサーバー管理の委託先(トランスコスモス)が施したSQLインジェクション対策を過信していたことで、弊社としてのセキュリティ対策が万全でなかった」として、おわびのコメントを発表している。


関連情報

URL
  個人情報漏洩のお詫びおよび経過報告
  http://www.m-infotec.co.jp/company/owabi_keika_index.html

関連記事
丸紅インフォテックのネットショップに不正アクセス、顧客情報漏洩の痕跡(2007/10/12)


( 増田 覚 )
2007/12/12 14:23

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.