アウトドア商品や釣り具を扱う通販サイトを運営する「ナチュラム・イーコマース」は2008年8月6日,外部からの不正アクセスにより65万3423件の個人情報が流出した可能性があると発表した(発表資料)。「SQLインジェクション」と呼ぶ攻撃手法を用いた不正アクセスで,顧客マスター全件を閲覧された。「迷惑をおかけしたお客様や関係者に深くお詫びしたい」とナチュラム・イーコマースの中島成浩代表取締役社長は語る。

 漏えいした顧客マスター・データベースには,会員情報として8万6169件のクレジットカード情報が登録されていた。ただし,登録されていたカード番号は全16ケタのうち先頭12ケタだけ。下4ケタは登録せず,買い物をするたびにユーザーが入力し直す仕組みだった。今のところ,顧客からカードを不正利用されたという連絡はないという。そのほか顧客マスターには,同社サイトにログインするためのIDとパスワード,氏名,メール・アドレス,住所,電話番号などが登録されていた。2000年5月にサイト運営を開始してから,商品を購入したり,会員登録したりした全顧客のデータが対象である。

 「カード情報漏えいの可能性がある」と,あるクレジットカード会社から指摘を受けたのが7月9日。カード会社はカードの実際の不正利用やその試みを監視するシステムを運営しており,ナチュラムで利用された複数のカード番号がその対象になったとみられる。

 ナチュラムがその翌日,セキュリティ専門ベンダーのラックに調査を依頼したところ,まず不正プログラムの有無をチェックするように指示された。ラックがナチュラム本社(大阪市中央区)に向かう間に,同社のシステム担当者が身に覚えのないASP(Active Server Pages)プログラム(バックドア)を発見。同日深夜には,クレジットカード情報を顧客マスターから削除し,カード決済を自主的に一時停止した。

 ラックは不正アクセスの実態を明らかにするため,直ちに調査に乗り出した。約1週間をかけてバックドア・プログラムが利用された痕跡(ログ)を見つけ,7月18日にナチュラムに報告。ナチュラムはそのログを基に,閲覧された顧客情報を特定する作業を開始した。7月30日に顧客マスター全件がアクセスされた可能性があることを突き止めた。

 情報漏えいの調査と並行して,ナチュラムはシステムのセキュリティ強化に乗り出した。バックドア・プログラムは直ちに削除し,システム管理用のパスワードなどを変更。約3000本あったASPプログラムについて,SQLインジェクションの有無を脆弱性スキャンによってチェックし,問題のあるプログラムを修正していった。7月15日にはIPS(侵入防止システム)を導入し,24時間体制の不正アクセス監視を開始。こうしたセキュリティ対策がカード会社に認められ,7月22日にはカード決済を再開できた。「現在は安心して買い物をしてもらえる環境を整えた」(ナチュラムの中島社長)という。

 ナチュラムのWebシステムにはほかに,カード与信など向けにカード番号全ケタと有効期限を記録する別のデータベースがあった。カード情報は累積で24万2741件登録されていた。このデータベースに不正アクセスされた痕跡は発見されなかったが,ナチュラムは念のため,そのカード番号をカード会社に報告した。現在はセキュリティ強化策の一環として,与信作業などのあとカード番号を直ちに削除するようにシステムを変更している。

 ナチュラムは今回の公式発表と同時に,漏えい対象の顧客に対してメールによる告知を開始した。120人体制のコールセンターを準備し,顧客からの問い合わせに対応するという。