相次ぐSQLインジェクション被害、サーバ運用はNEC子会社

[ITmedia]

　子供服などのオンラインショッピングサイト「キッズオンライン」を運営しているリトルアンデルセンは12月2日、同社のWebサーバがSQLインジェクション攻撃を受け、顧客情報6725件が流出したことを明らかにした。

　リトルアンデルセンの情報によると、キッズオンラインのサーバに対するSQLインジェクションが発生したのは11月6日。不正アクセスを受けて流出したのは、同社顧客のID（＝メールアドレス）とパスワード、6725人分。今のところ、氏名や住所、クレジットカード情報の流出は確認されていない。

　同社ではWebサーバの運用をNECネクサソリューションズのデータセンターに委託していた。

　11月19日には、同じくNECネクサが運用していたワコールのWebサーバがSQLインジェクション攻撃を受け、顧客情報が流出する事件が発生していた（関連記事）。

　NECネクサでは、不正アクセスを通じた情報漏えい事件が多発していることを受け、キッズオンラインも含め同様のシステムの再チェックを実施。11月29日深夜になって、キッズオンラインのWebサーバに対する不正アクセスの形跡を発見した。即座にWebサーバを緊急停止するとともに、原因究明に取り組んでいるという。再開時期は未定だ。

　リトルアンデルセンは12月2日付けで警視庁渋谷警察署に相談を行い、ハイテク犯罪対策総合センター、経済産業省に連絡。併せて、キッズオンラインへの会員登録を行っている顧客すべてに電子メールを配信し、お詫びと事実報告を行っている。顧客からの問い合わせには電子メール（support@kidsonline.co.jp）およびフリーダイヤル（0129-49-1400、11時〜17時まで）で対応する。