インフォトレーダーは2月9日から10日かけ、同社が運営するインターネット書店「スカイソフト」において昨年12月4日と7日に受けた不正アクセスによって流出した個人情報を特定し、該当する顧客約9000人に対してお詫びのメールを送付した。漏洩した個人情報は、同社の会員ID、会員パスワード、電子メールのアドレスの三つ。同社によると、不正なSQLコマンドによりデータベースを操作する「SQLインジェクション」による攻撃を受けたために情報が漏洩したという。
同社は今年1月12日に、SQLインジェクションによる攻撃を受けたが、被害が軽微だったことから、自社のエンジニアによって問題点の修整を実施して、サイトの運営を継続してきた。だが、同社がログの解析を進めた結果、昨年11月にSQLインジェクションによる攻撃があったことが1月19日になって判明した。それを受け同社は19日の24時以降、サイトを閉鎖している。
この攻撃によって流出した個人情報は、名前、住所、電話番号、メールアドレスなどを含む1万3000人分のデータ。そのうち5000人はクレジットカード番号と有効期限も含まれていた。同社は情報が漏洩した1万3000人に対して、電子メールでお詫びを送付、届かなかった顧客4000人については詫び状を郵送している。
1月23日以降、同社はセキュリティ専門会社であるラックに調査を依頼してログの解析を再度進めた。その結果として、昨年12月の不正アクセスが発覚し、今回の解析に至った。
同社は電子メールで「当社のサイト攻撃防御体制と監視体制が不十分であったためにこのような事態を招いたことを深くお詫び申し上げます。また、詳細な調査に時間がかかったためご連絡が遅くなり申し訳ございませんでした」と謝罪した。なお、同社は、「早期の営業再開よりも、セキュリティ確保が重要」との考えから、セキュリティ対策が十分に確保できるまでサイトを再開しないとしている。
