カード情報流出の経緯を分刻みで説明　サウンドハウス、1人1000円分のポイント付与

[ITmedia]

　運営するECサイトが不正アクセスを受け、顧客のクレジットカード情報などが流出したサウンドハウスは4月18日、流出した可能性がある12万2884人に1000円相当のポイントを付与すると発表した。不正アクセス発覚からユーザーに告知するまでの経緯も詳細に公開。A4用紙22枚にわたって分刻みで説明している。

　補償の対象となるのは、昨年1月1日から今年3月22日までに会員登録した全ユーザー12万2884人。実際に流出したのは9万7500人だが対象ユーザーが特定できないため、流出した可能性がある全ユーザーを対象にした。補償対象のユーザーが商品を購入した際、代金の3％を還元するポイントプログラムも4月30日まで実施する。

状況を分刻みで公開

　流出について顧客から数千件もの問い合わせメールを受け取ったといい、「いつ不正アクセスの情報を得たのか」「3月21日に問題が発覚していたのに、情報開示はなぜ4月3日になったのか」といった疑問が多く寄せられたため、「憶測が飛び交うことを防ぐためにも」（同社）詳細な経緯を、A4用紙22枚にわたるPDFファイルで公開した。セキュリティ会社やクレジットカード会社とのやりとりまで分刻みで説明している。

　それによると、3月21日にクレジットカード会社から「カードの不正使用の疑惑があり、ハッキングされている可能性がある」との指摘を受け、22日にセキュリティ対策の専門会社に調査を依頼。27日に、2006年から07年5月にかけSQLインジェクション攻撃があったことが分かった。28日には流出した情報の内容が判明。「SQLインジェクションと、以前からサーバ上に存在した悪性プログラムを利用した攻撃」と30日に報告を受け、4月3日にECサイトでユーザーに告知した。

　同社の推測では、犯人は06年6月にSQLインジェクションを利用し、データベースサーバを直接操作するためのバックドアを作成。このバックドアを利用し、さらに別のサーバにバックドアを埋め込み、悪性プログラムを置いた、と見ている。攻撃は、中国国内の複数のIPアドレスから仕掛けられていた。中国のブログに06年、同社のサイトへの攻撃マニュアルが掲載されていたことも分かったという。

　「個人情報管理が甘かったのでは」という指摘に対しては「完璧ではないが、落ち度があったと言えるレベルではない」と弁明。導入していたセキュリティシステムを、実名を挙げて紹介した。

　今後は対策をさらに強化し、24時間体制で不正アクセスを監視するほか、プログラムを見直し、システム構成を改善。社内体制も見直してセキュリティ管理や対策を行う委員会を設置するほか、社員のセキュリティ教育も徹底していくとしている。