SQLインジェクション攻撃で1万5000件漏えい カード情報も FTO

フィッシング用品のECを手がけるフィッシングタックルオンライン（FTO、本社大阪府吹田市）は3月22日、海外からの不正アクセスを受け、クレジットカード情報を含む個人情報が流出した可能性があることを明らかにした。攻撃手法は「SQLインジェクション攻撃」とみられ、個人情報を搾取するための不正プログラムが仕掛けられていた。個人情報の漏えいは最大で1万5360件にのぼるという。

被害を受けたECサイトは〈フィッシングタックルオンライン〉。09年8月から11年1月までにECサイトを利用した顧客の氏名や住所、メールアドレスなどが対象となる。閲覧された恐れのあるカード情報は最大3321件にのぼる。カード番号、有効期限なども含まれている。

1月18日にクレジットカードの不正使用についての問い合わせが顧客からあり、翌19日に不正なファイルが設置されていることが判明した。同22日にカード決済機能を停止し、自社内にカード情報を持たない「PayPal」に決済手法を変更した。同24日にカード会社へ報告し、セキュリティ専門会社による調査が行われた。3月7日に最終報告を受け、同22日に顧客に通知している。

現在、外部ネットワークからの不正アクセスを防ぐソフトウェアを導入するなど、クレジットカードの国際セキュリティ基準「PCI DSS」への準拠を進めている。

・フィッシングタックルオンライン
→ http://www.bun2.jp/

・情報漏えいについて
→ http://www.bun2.jp/report/news_d.html