カード番号2万8000件流出の恐れ アイリスプラザのECサイト、SQLインジェクションで

[ITmedia]

　アイリスプラザは7月24日、ECサイト「アイリスプラザインターネットショッピング」に不正アクセスがあり、顧客のクレジットカード情報が流出した可能性があると発表した。

　流出した可能性があるのは、2007年6月1日から08年6月6日までに同サイトを利用した顧客のクレジットカード番号2万8105件。うち987件は有効期限の情報も含んでいる。名前やパスワードの流出はなく、カードの不正利用も報告されていないとしている。

　中国からSQLインジェクションによる不正アクセスを受けたとみられる。ファイアウォールやSQLインジェクション対策をしていなかった、既に使われていない古いプログラムが攻撃を受けたという。

　同社によると、6月6日にカード会社からの連絡を受け、アクセスログを調査。不正アクセスの形跡を発見したためページを閉鎖し、24時間体制でアクセスログの監視を始めた。17日にセキュリティ専門会社によるログ分析を開始し、30日にカード情報流出の可能性が判明。カード番号から顧客の特定を進め、7月23日に、情報が流出した可能性のある顧客にメールで連絡。24日にWebサイトで公表した。

　発表が遅れたのは、「流出の原因や流出した情報の範囲を特定する作業に時間がかかったため」としている。