音響機器・楽器販売サイトからカード番号流出の可能性 SQLインジェクションで

[ITmedia]

　音響機器や楽器などを販売するサウンドハウス（千葉県成田市）は4月7日までに、ECサイトに不正アクセスがあり、顧客の個人情報が流出した可能性があると明らかにした。クレジットカード情報が流出した可能性もあるという。

　流出した可能性があるのは、2007年1月1日から08年3月22日に新規登録した顧客の12万2884件のうち最大9万7500件の氏名、性別、生年月日、サイトログイン用メールアドレス、パスワードと、登録されていたクレジットカード情報（会社名、カード番号、有効期限、カード名義）2万7743件。

　4月3日までにカード会社から「サウンドハウスのECサイトで購入した顧客のカード番号が流出している可能性がある」との指摘を受け、セキュリティ企業に依頼して調査したところ、3月11日から22日にかけ、中国国内の複数のIPアドレスからSQLインジェクション攻撃が仕掛けられていたことが分かった。

　第三者によるカードの不正使用が発覚した場合も、ユーザーの負担は一切ないとしている。JCBとオリコも、同様の対応を発表した。

　サウンドハウスは、同社データベースから全てのカード情報を削除したほか、不正侵入監視機器の設置、ファイアウォールの強化、セキュリティ管理・対策委員会の設置といった対策を実施。警察に被害届を提出し、経済産業省にも届け出た。

　同じ時期には大規模なSQLインジェクション攻撃が起きており、トレンドマイクロのWebサイトが改ざんされた被害も、同攻撃によるものと見られる。