大手通販サイトからのクレジットカード番号流出事件がまた起こった。以前の記事「流出元が明かす『個人情報漏えいの実態』」で取り上げた「サウンドハウス」に続き、ガーデニングやペット用品の大手通販サイト「アイリスプラザ」でもクレジットカード番号の流出事件が起きている。
「アイリスプラザ」は、インテリア・ペット用品・ガーデニング用品・DIY用品などを販売する大手通販サイト。製造元の「アイリスオーヤマ」の子会社で、特にペット用品の通販では有名なサイトだ。
アイリスプラザによれば、クレジットカード番号の流出がわかったのは2008年6月6日のこと。カード会社から「オンラインゲームなどでクレジットカード番号が不正利用された痕跡があり、アイリスプラザからの流出の可能性がある」と指摘があった。調査したところ、2008年3月3日から5月30日にかけて、中国のIPアドレスからSQLインジェクション攻撃があったことがわかった。
SQLインジェクション攻撃とは、ウェブサイトで使われているデータベースを書き換えてしまう攻撃のこと。データベースを書き換えることで、サーバーにあるデータやユーザーのデータを盗み取ろうとするものだ。日本のサイトを狙ったSQLインジェクション攻撃は、2008年に入って猛烈なペースで増えている。以前の記事「犯人は中国から?日本へのサイト集中攻撃」でもとりあげたように、中国から日本の企業サイトへの攻撃が目立っている。今回の「アイリスプラザ」からの情報流出も、一連の中国からの攻撃の被害に遭ったものだ。
未使用のケータイサイトが狙われたアイリスプラザでは、2006年ごろからSQLインジェクションへの対策を行っていた。そのためパソコン向けのウェブサイトでは被害は出ていないそうだ。アイリスプラザによれば「以前に携帯電話向けの通販サイトを準備していたが、公開せずに中止していた。SQLインジェクション攻撃の被害にあったのは、この携帯電話向けサイト。消去せずに残していたことが問題だった」とコメントしている。表からは見えない携帯電話向けサイトが存在していて、それが犯人に狙われたことになる。
アイリスプラザによれば流出した可能性があるのは、クレジットカード番号28,105件と、カードの有効期限987件。クレジットカードのパスワード、氏名・住所などは流出していないそうだ。パスワードがわからなければ不正利用は起きにくいはずだが、オンラインゲームなどで不正利用された痕跡がある。パスワードを犯人が何らかの方法で類推したか、もしくは他のサイトからの流出があったのかもしれない。なぜ犯人にパスワードがわかったのかは謎の部分である。
ただし「現在のところ、お客様から不正利用があったという問い合わせはきていない(アイリスプラザ)」とのことで、直接的な被害は出ていないようだ。原因となった携帯電話向けサイトは現在閉鎖されており、パソコン向けサイトの安全性も確認できているそうだ。
アイリスプラザでは「多くのお客様にご迷惑とご心配をおかけしておりますことを、心より深くお詫び申し上げます。データ流出した可能性のあるお客様には、23日にeメールをお送りし、また、お手紙でも順次ご連絡を差し上げております。フリーダイヤルでの専用問い合わせ窓口を用意しておりますので、不安な点がありましたらお問い合わせください。」とのお詫びを出している。
不正利用がないかカードの明細書をチェック数年前に比べてネット通販サイトの利用者は急増しており、クレジットカード決済への抵抗感も薄れている。多くの人は、何の疑問も持たずにクレジットカードを利用していることだろう。
しかし度重なる大手通販サイトからのカード番号流出で、ネットでのクレジットカード利用の信頼性に疑問符がつき始めている。流出の原因は、通販サイト側の対策の甘さにあるのだが、ある意味で仕方がないのでは? と思える部分もある。というのは、SQLインジェクションなどの攻撃が増えたのはここ1年ほどのことで、対策が間に合っていないところが多いからだ。SQLインジェクション攻撃を完全にシャットアウトするには、膨大なコストがかかるため、中小の通販サイトではまだ対策していないところもあるだろう。
ユーザーからは、どの通販サイトが安心なのか、SQLインジェクションへの対策が済んでいるのか、といった点はわからない。「セキュリティ対策を施しているので安全です」と書いているサイトでさえ被害が出ているのだから、一般ユーザーには判断のしようがないだろう。
私たちユーザーができる自衛手段は、クレジットカードの明細書をチェックすること。身に覚えのない請求があったら、すぐにクレジットカード会社へ電話で問い合わせよう。クレジットカード会社で不正利用だと確認できれば、請求をストップしてもらえる。クレジットカードの明細は、毎月必ずチェックするクセを付けたい。
●参考サイト
アイリスプラザ「◆情報流出によるお詫びとご説明」
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20080801nt0a.htm