秋葉原の老舗パーツショップ ECサイトへ不正アクセスメールアドレス流出 - 【2023年最新個人情報流出・セキュリティ事件まとめ】

秋葉原豊富な種類のパーツを取り扱っている千石電商のECサイトにて、不正アクセスが発覚したと発表がありました。

下記の記事から一部引用しています。

流出したのは購入者のメールアドレスのみで、会員登録を行わなかった購入者も対象となる。

　同社では4月8日に、顧客からの申告を受けて調査を開始し、同日午後5時頃にアクセス遮断を実施、オンラインショップの全てのスクリプトに対し不正アクセス対策を実施し、攻撃を回避できることを確認している。
秋葉原の老舗パーツショップ ECサイトへ不正アクセスメールアドレス流出

メールアドレスだけだったのが不幸中の幸いでしたね。

また、千石電商さんのプレスリリースについても触れたいと思います。

【調査内容とその結果】

1. ログイン記録・作業用PCのマルウェア感染調査などにより侵入の形跡が無いことを確認

2. Webサーバーのアクセス記録により、SQLインジェクション攻撃の形跡を発見

3. 攻撃時のSQL文記録に、テーブル情報略取のクエリ句と個人情報テーブルのメールアドレスカラムのみのクエリ句を発見

4. 上記以外に攻撃時のクエリ記録が無いことを確認以上の調査結果により、流出はメールアドレスのみとの判断に至りました。なおクレジットカード情報については決済代行サイトで完結しており、弊社では経由・保持は行っていないため、今回流出の可能性はありません。上記は弊社の社内調査結果であり、今後第三者機関も含めて調査を継続する予定です。

【調査内容公開の経緯】

1. 具体的な攻撃手法の公開は新たな脅威とも成りかねないが、概要は個人情報保護委員会に報告済みであること

2. 今回の攻撃に対する対策が既に講じられていること以上により、公開しても差し支えないと判断いたしました。
メールアドレスの流出に関するお詫びとお知らせ（一覧）

段階的に調査結果を報告されていて、内容もわかりやすいものとなっています。

クレジットカード情報は決済代行のサービスを通しているので、その周辺の情報は流出阻止できたのは好材料です。

現在運用しているシステムが不正アクセスにあった際、どの箇所が抜き取られやすいかなどを検査して対策を講じておくことは非常に重要かと思います。

COVER365のTwitterアカウントをフォローしていただければ、
随時記事の更新ツイートや、お得な情報が受け取れます。ぜひフォローしてください！