アイリスオーヤマの子会社でECサイト事業を手がけるアイリスプラザは2008年7月23日、同社の顧客の一部に対してクレジットカード番号を外部に漏洩した可能性があることを通知した。件数は2万8105件。同社はSQLインジェクションなどへの対策を実施していたが、「使っていない古いプログラムへの対処をしておらず、それを不正に利用された」という。
漏洩した可能性があるのは、同社のECサイト「アイリスプラザインターネットショッピング」の顧客が使用したカードの番号。このうちの987件については有効期限情報も含まれる。メールアドレスや個人名は含まれていない。
同社のサーバーに対し、中国からSQLインジェクションによる不正アクセスがあったとみられる。6月6日にクレジットカード会社からの連絡で事態が判明。アイリスプラザはログを調査して外部アクセスの形跡を確認し、不正アクセスされたWebページを閉鎖した。
その後セキュリティ専門会社に調査を依頼してログ分析を開始。6月30日に情報漏洩の可能性が判明した。7月24日に正式に経緯を発表するとみられる。現在までのところ、カード情報を不正に利用されたという情報はないという。
