自動車雑貨通販サイトからクレカ情報流出 - テスト環境経由でバックドア

オンラインショップ「イタリア自動車雑貨店」が不正アクセスを受け、顧客のクレジットカード情報が外部に流出していたことがわかった。

同サイトを運営するハックルベリー・アンド・サンズによれば、4月23日に決済代行会社からクレジットカードの不正利用に関する報告があり、その後の調査で判明したもの。サーバが不正アクセスを受けて3月16日にバックドアが設置され、プログラムの改ざんにより、クレジットカード情報が流出したと見られている。

流出の可能性があるのは、2015年4月23日20時までに登録されたクレジットカード情報2万8212件。カード名義や番号、有効期限などで、セキュリティコードは含まないという。実際に流出が確認されているのは、2014年1月以降の利用者だが、サイトを開設した2004年4月以降の顧客についても流出した可能性がある。

同社は不正アクセスを受けた原因について、サイトを構築した事業者が、2012年にテスト環境を同一サーバ内に無断で設置し、そのまま放置していたと説明。テスト環境の管理画面は、簡易なIDとパスワードが設定されており、テスト環境と実環境が同じデータベースを参照していたことからバックドアをしかけられたという。ウェブサイトの改ざんによるマルウェア感染の可能性については否定している。

また漏洩の可能性が判明してから公表まで2カ月間を要したことについて、「早い段階の公表は混乱を招く可能性があった」と釈明。クレジットカード会社の指示に従って公表したとしている。利用者には明細を確認し、心当たりがない請求についてはクレジットカード会社へ連絡を取るようアナウンスしている。

今後同社では、クレジットカード情報を保有せず、PCI DSSに準拠した決済システムを導入したうえでサービスを再開する予定。

（Security NEXT - 2015/06/29 ） ツイート

PR

関連記事

日本茶販売ショップに不正アクセス - カード情報が流出
野球グッズ販売サイトに不正アクセス - クレカ情報流出
クレカ情報6581件が流出、セキュリティコードも - 額縁専門店
クレカ情報8万4153件の流出があらたに判明 - NCMACカード
釜石の老舗料理店に不正アクセス - プログラム改ざんでカード情報流出
NCMACカードの会員情報が流出 - 暗証番号やセキュリティコードも
通販サイトでカード情報2万2000件が流出 - セキュリティコードも
ホビーショップの通販サイトからクレカ情報が流出 - セキュリティコードも
ネットショップに不正アクセス、クレカ情報含む顧客情報が流出 - タオル製造業者
複数サイトで改ざん、セキュリティコード含むクレカ情報が外部流出 - 光文社