音響機器通販のサウンドハウス(とくにヘッドホンやDJの機器の格安通販で有名でした)で個人情報が漏洩しているようです。個人的にもつかっていたので大変ショッキングであります。
なにはともあれ時系列でまとめてみます。
3/14時点では、
SQL インジェクションによる Web サイト改ざんに関する注意喚起
http://www.jpcert.or.jp/at/2008/at080005.txt
というアナウンスがあってから間もないことでした。
3/29にカードが利用できないらしく、キャンペーンをやっていたようです
システムの障害により、クレジットカードがご利用頂けず、大変ご迷惑をおかけしております。カード決済ができない期間に限り、銀行振込、代金引換でのご注文のお客様に対して、購入金額の3%を次回ご利用時にお使いいただけるリベートキャンペーンを実施しております。ぜひこの機会をご利用ください。
時系列でおっていくと、ふたをあけてみたら、どうやら侵入されていたらしい、ということらしいです。
4/7時点では、流出した、ということだけわかり内容がなにかはわかりませんでした
このたびは全く予期せぬ形で個人情報が流出する事態となり、お客様には多大なご迷惑、ご心配をおかけすることに至りましたこと、深くお詫び申し上げます。
現在も第三者調査機関に依頼し、調査を継続中ですが、弊社でわかる範囲でお客様に随時、情報をお伝えしてまいります。現時点で判明したことは、今回の弊社ホームページに対する攻撃元のIPが複数存在し、3月11日から22日の間に仕掛けられたと考えられます。これらのIPは全て中国を発信元としており、同時期、日本国内では同様の被害が、他社でも多数報告されているとのことです。SQLインジェクションという手法でサイトに侵入する手口が今回、使われたこともわかっており、只今どの範囲でデータが流出した可能性があるか、最終確認をしております。少なくとも2007年1月1日より以前に新規会員登録を済まされているお客様のデータの流出はないようです。
4/9の判断状況だと、情報要素がわかりカード番号までしっかり流出しているようです。
2007年1月1日〜2008年3月22日までに新規会員登録を行ったお客様のデータ、総数122,884件の内、最大97,500件まで下記のデータが流出した可能性があります(内カード情報保有データ27,743件)。・お名前 ・フリガナ ・性別 ・生年月日 ・ログイン用メールアドレス ・ログイン用パスワード・クレジットカード情報 (ご名義 /カード番号 /有効期限)注:クレジットカードのパスワードにつきましては、弊社ではデータを保持していない為、流出の危険はありません。また、ご住所、お電話番号に関しては、調査の結果、流出の形跡はございませんでした。
問題としては、ログイン用のパスワードが流出している場合について、サウンドハウス社がパスワードを不可逆暗号方式で保存していたか否か、で、被害の拡大状況がかわる、ということです。
とくにログインパスワードについては、サウンドハウス社が被害として認識しているレベルと発生する被害の対象者のずれが発生する可能性もあり、自分も問い合わせしてみたいと思います。
追記::
4/9にお詫びと称して下記のような商魂たくましいメールがおくられてきました。
もうかわないでしょ常識的に考えて・・・
尚、只今、3%リベートプログラムを、ホームページ上から銀行振込、もしくは代金引換のお支払い方法で購入されたお客様に提供しております。一部のお客様からは、今の状況で、商売気を出すのはいかがなものか、とのご批判も頂いておりますが、これはあくまで、クレジットカードの特典を活用することを考えておられたお客様に対して、現在カードがご利用いただけないことへの弊社からのお詫びでございます。
対策事項としては、下記のようなことを述べていますが、要するにいままではやっていない、もしくは足りなかった、ということなのでしょう。
・WEBシステム構成の再設計
・侵入経路を遮断する不正侵入監視機器の設置
・セキュリティ管理対策委員会を設置
・24時間体制の不正アクセス監視
・ファイヤーウォールのアップグレード
・不正プログラムの除去
・データベースからカード情報を削除
この事件を踏まえカードなどの決済を取り扱うサービスでは、
- カード番号の保持のビジネスリスクについて再度精査
- ログイン用パスワードの保管方法について再度精査
- IDSの導入をまだしていないところは検討 (SQLインジェクションのパターンであれば、大体のケースである程度は認識できると思います)
- 保険への加入の検討
- セキュリティ監査の定常的な実行、複数業者でのローテ
といったリスクマネジメントを改めて検討していく必要がありますね。
