エス・ケー・シー、不正アクセス受け顧客のカード情報417件が流出
遊戯銃販売のエス・ケー・シー (本社:大阪府東大阪市)は9月11日、運営する「ガンショップFIRST」のWebショップ「FIRST ON WEB!」サイトが不正アクセスを受け、顧客情報が流出したと発表した。発表によると、今年4月9日、決済代行会社よりクレジットカード情報が流出している可能性があるとの連絡を受け、同サイトのカード申込みを停止するとともに、社内に事故対策委員会を設置した。同社システムはカード情報の伝送および処理はするが保管は行わない仕組みだった。しかし、4月24日に調査を依頼した第三者機関のログ解析の結果、SQLインジェクションの脆弱性を利用して仕込まれたプログラムが、顧客が入力したカード情報、セキュリティコード、有効期限、氏名を記録し、外部に流出させた可能性があることがわかった。バックドアプログラムが設置された今年3月29日からカード決済が停止された4月9日までの間、決済画面で入力されたカード情報417件が外部に漏えいしている可能性が高いという。同社は該当顧客へメールで連絡するとともに、問合わせ窓口を設置した。流出の可能性があるカード情報についてはカード会社へモニタリング強化を依頼している。同社は不正にプログラムを書き換えられて蓄積されたカード情報を全て削除した。今後はカード情報を一切取り扱わず、決済代行会社がカード情報の処理、伝送、保持をする「リンクタイプ決済」へ切り替える。また、アプリケーションの脆弱性修正、不正侵入監視などセキュリティ対策を強化し、再発防止に取り組むとしている。
・不正アクセスによるお客様の情報流出に関するお知らせとお詫び(エス・ケー・シー)
http://www.first-jp.com/articleinfo/detail.php?id=360