ギターやマイクなどの楽器・音響機器関連を販売するサウンドハウスは2008年4月7日、同社が運営するWeb通販サイトから会員の氏名や性別、ログインID、パスワードといった個人情報が最大9万7500件流出したことが調査の結果明らかになったと発表した。うち、クレジットカード情報を含むものは2万7743件に上るが、カードのパスワードの流出はなかった。中国からのSQLインジェクション攻撃により、不正プログラムが同社のWebサイトに仕掛けられたことが原因だ。

 サウンドハウスは4月3日、クレジットカード会社からカード情報流出の可能性の指摘を受け調査を開始した。調査を依頼した第三者機関によると、3月11日から22日の間に同社のWebサイトへ中国からのSQLインジェクション攻撃があったことが確認されたという。同時期に日本国内の他のサイトへも同じSQLインジェクション攻撃が多発しており、この時に不正プログラムが仕込まれた可能性が高い。

 同社は、不正プログラムの除去とファイアウォールのアップデートを終了したほか、データベースからカード情報を削除して再度流出することを防ぐ対策をしたという。また、セキュリティ管理対策委員会の設立や侵入経路を遮断する不正侵入監視機器の設置、24時間体制の不正アクセス監視といった施策も開始した。