ガンショップFIRSTを運営するエス・ケー・シーは2013年9月11日、同社のエアガン・電動ガン販売サイト「FIRST ON WEB!」から、不正アクセスによりクレジットカード情報417件が流出した可能性が高いと発表した。SQLインジェクションの脆弱性を利用され、不正侵入されたという。
流出した可能性があるのは、2013年3月29日のバックドア設置から2013年4月9日までに決済で入力されたクレジットカード情報417件。同社は2013年4月9日に決済代行会社からクレジットカード情報の流出の可能性についての連絡を受け、クレジットカードによる申し込みを停止。外部調査会社に解析を依頼していた。
調査会社がログを分析した結果、SQLインジェクションの脆弱性を利用されて、Webアプリケーションの管理者権限が不正に取得されていたことが判明した。SQLインジェクションとは、外部からデータベース操作言語であるSQLを入力し実行させる不正アクセスの手口。WebアプリケーションでのSQLインジェクションへの対策が、不十分だったとみられる。2013年3月29日にバックドアプログラムが設置され、これを利用してアプリケーションが改ざんされた。この改ざんにより仕込まれたプログラムは、クレジットカード情報、セキュリティコード、有効期限、氏名をファイルに記録していた。
同社では、不正に記録されたクレジットカード情報の削除や、クレジットカード決済サービスを停止し外部決済に切り替えるなどの対策を実施し、警察署や経済産業省への報告を行っている。流出した417人の顧客には、商品券1000円分を送付した。また今後システムの再構築や、決済代行会社がクレジットカード情報を処理・保持する「リンクタイプ決済」の導入などを行う方針。
[発表資料]
第1段落で「ガンショップFIRST」としていましたが、「ガンショップFIRSTを運営するエス・ケー・シー」です。お詫びして訂正します。本文は修正済みです。 [2013/09/13 11:51]
