画面●シャトレーゼが出した不正アクセスに関する告知
画面●シャトレーゼが出した不正アクセスに関する告知
[画像のクリックで拡大表示]

 洋菓子などの製造・販売を手掛けるシャトレーゼ(甲府市)は2015年7月30日、Webサイトが外部から不正アクセス攻撃を受け、個人情報が流出した可能性があると発表した(画面)。

 対象となる個人情報は、店舗で使えるクーポンなどの特典を提供する「WEB会員」の登録者情報。会員約21万人のほぼ全数について、ユーザーID・暗号化されたパスワード・メールアドレス・電話番号・誕生日が流出した可能性がある。このうち13件については、氏名・住所も含まれるとしている。

 同社情報システム部の説明によれば、不正アクセスは、Webサイトの入力フォームにデータベース操作命令を潜り込ませる「SQLインジェクション」の手口で行われた。7月28日にWebサイト内の問い合わせフォームを受け付ける部署から「意味の分からない入力内容の問い合わせが多数寄せられている」との連絡があった。情報システム部でアクセスログを調べたところ、一つのIPアドレスからSQLインジェクション攻撃が実行され、前日の7月27日午後9時50分頃に個人情報が流出していた可能性があると判明した。

 「SQLインジェクション対策は講じていたつもりだったが、結果的にはセキュリティホールが残っていた」(情報システム部)。Webサイト内の通信販売サービス「シャトレーゼオンラインショップ」に登録された決済情報の流出はないという。現在、通販を含めたサイト全体を停止中。今後、セキュリティ専門会社の安全確認を受けたうえで再開することを予定している。