海外からの不正アクセスに関するクレジットカード情報漏洩の可能性について

2012年11月1日(木)

お客様各位

株式会社ウェブシャークが運営するウェブサイト
「ストアミックス(http://www.store-mix.com/)」及び
「ドクタートニー(http://www.store-mix.com/tony/」
にて、ご利用いただいておりますお客様の過去の注文の一部におき
まして、クレジットカード情報が、海外からの不正アクセスにより流出
した可能性があることを確認いたしました。

お客様及び関係者の皆様に多大なるご迷惑、ご心配をおかけ致しました
こと深くお詫び申し上げます。

弊社では、この度の事象を重く受け止め、カード利用されたお客様に対
する不正取引被害防止を図るべく、現在、事象収束に向けて鋭意作業を
行なっております。

弊社ショッピングサイトでクレジット決済をご利用された方はカード不
正利用の可能性があります。お手数ながらカードご利用明細の確認、ご
利用されているカード会社へのお問い合わせをお願い申し上げます。

本件について弊社からのメールを受け取られたお客様はこちらをご覧く
ださい。
(弊社ショッピングモールで過去お買い物をされたお客様)

●不正利用が発覚した経緯

2012年8月22日に弊社契約を行なっているクレジット決済代行会社とクレジット

カード会社での調査で、ストアミックス・ドクタートニー経由で過去に注文があっ
たカード情報が、換金性のある商品(金券/商品券等)を取り扱うネットショップ(弊
社モール以外)で不正に利用された可能性があるとの指摘を受けました。不正注文が

あった期間は、2012年8月上旬~中旬という報告を受けており、現在までの被害総額
は2000万円ほどであるとカード会社から報告を受けております。

●調査期間

第三者の調査においては、2012年8月27日依頼
2012年8月30日に開始いたしました。

調査機関は2012年8月30日から2012年10月3日です。

●不正アクセスによる情報漏えいの内容

調査の結果、不正アクセスによって窃取された可能性のある情報は、
弊社ストアミックス・ドクタートニーウェブサーバーのログ内に
ありました。 このログはペイメント代行会社との通信ログとして残して
いましたが、この情報に不正アクセスがありました。調査した結果98件
のカード情報が窃取された可能性のある痕跡を発見いたしました。

窃取された情報とは、オンラインショップの受注データに含まれるクレ
ジットカード情報(番号、有効期限、カード名義)であることが分かり
ました。

クレジットカード情報(会員番号、有効期限、カード名義)
アクセスログで確認された数:98件
ウェブサーバの通信ログに存在していた数:94,243件
※こちらに関しては、窃取可能性のある件数になります。

●不正アクセスの日時・攻撃手法

日時:2011年11月14日~11月30日にかけて断続的に。
攻撃元:海外(中国のIPアドレス)
攻撃手法:バックドアによる不正侵入
(何らかの方法でサーバに不正プログラムをアップロードし、サーバの情
報を不正取得・操作する攻撃手法)

・弊社データベースサーバー内のデータベースに対する
「SQLインジェクション」(コンピュータ言語を悪用し、データベース
を不正に操作する攻撃方法)

●弊社として行なっている対策・検討している対策

・クレジットカード情報をログに一切残さない仕組みを構築いたしました。
この仕組は現在すでに稼働いたしております。

・プログラムの見直しを行いました。

SQLインジェクション・XSS(クロスサイトスクリプティング)の防衛の
ために、アクセスする引数の内容を精査し、関係のないものが入ってい
た場合にエラーや無効化する処理を導入しました。

・アンチウィルスプログラム導入を行いました。
プログラム上にバックドアやウィルスをアップロードされた場合に、検
出するものです。

・OSのバージョンアップの定期実行を実施するように体制を整えます。
OSの脆弱性があった場合速やかに検証・導入を行い、脆弱性をなくすよ
う努めます。

この度はお客様に大変なご迷惑とご心配をお掛け致しまして誠に申し訳
ございません。今後このようなことの無いよう鋭意努力いたしてまいり
たいと存じます。今後共引き続きストアミックス・ドクタートニーへの
ご愛顧よろしくお願い申し上げます。

■ご利用明細の確認及びお使いのカード情報についてのご質問、ご相談など

ご利用頂きましたクレジットカードの裏面などに記載されているサポート
デスク及びお問い合わせ窓口までご連絡頂きますようお願い申し上げます。

 

本件について弊社からのメールを受け取られたお客様はこちらをご覧く
ださい。
(弊社ショッピングモールで過去お買い物をされたお客様)

 

※2012/11/3  不正利用が発覚した経緯を追加

 

株式会社ウェブシャーク
住所:〒541-0053 大阪市中央区本町3丁目1-6 羽州本町ビル4F
Tel : 06-6264-2816(代表)(月~金 10:00~18:00)

お買い物をされたお客様のお問い合わせメールアドレス:info@store-mix.com
お買い物されたお客様以外のお問い合わせメールアドレス:info@webshark.co.jp