カード番号売買「裏サイト」暗躍 モンベル顧客情報流出(産経新聞)
企業へのサイバー攻撃で情報流出したクレジットカードが一斉に不正利用されていた。大手アウトドア用品メーカー「モンベル」(大阪市西区)のサイトが不正アクセスを受けた問題。オンラインチケットサービスで勝手に利用された顧客は100人以上に上り、ネット上で個人情報を売買する「裏市場」が絡んだ組織犯罪の可能性も浮上している。拡大する一方のネット通販市場だが、セキュリティーの一層の強化を求める声も出ている。
今回の情報流出が発覚したきっかけは、モンベルのオンラインショップで買い物をした会員のクレジットカードが真夜中や明け方、ネットを通じて「ローソンチケット」のチケット購入手続きに使われたこと。カード会社が利用時間帯を不審に思い、モンベル側に連絡して明るみに出た。
「自分の会社のサイトが外部から不正アクセスされるなんて考えたこともなかった」。モンベルの男性社員は、こう打ち明ける。
情報セキュリティー対策会社「ラック」(東京都港区)によると、モンベルが被害に遭った不正アクセスの手法「SQLインジェクション」は約5年前から増え始め、当初はホームページの改竄(かいざん)など、愉快犯的な側面が強かった。
しかし、しばらくするとネット通販を行っている企業のサイトから顧客のカード番号や個人情報を流出させたり、仮想通貨を現実の通貨に換えるサービスがあるオンラインゲームのアカウント(ゲームに参加する権利)が盗まれたりする被害が出てきた。
同社によると、カード番号を転売する際には世界各国から同様の手口で流出したカード番号などを取り扱う「裏市場サイト」が使用されるという。米国国内のサイトが多く、カード番号の販売価格は1枚2〜3ドル程度というが、実態把握は難しく摘発は進んでいないという。
同社マーケティング部の権平みずえさん(31)は「モンベルのケースでは、カード番号を盗んだ人物がまず裏市場に売りに出し、それを購入した人物がチケットを換金する目的で番号を購入し不正利用した可能性がある」と指摘する。
加えて、サイトのサーバーに誤作動を起こさせるようなSQLインジェクションの手法を自動で行う攻撃用ツールが開発され、ネット上で配布されており、コンピューターに深い知識がなくても扱えるようになっていることも、被害が止まらない理由とみられる。
コンピューターウイルスやセキュリティーに関する調査を行っている独立行政法人「情報処理推進機構(IPA)」によると、不正アクセス情報を収集・分析するためIPAが開設しているウェブサイトに昨年1月から今年2月にかけて行われた不正アクセスのうち、約45%がSQLインジェクションだった。
IPAの担当者は「企業の情報漏洩(ろうえい)は信用失墜や被害弁償などの面でリスクが大きい。定期的にセキュリティー診断を受けるなど、対策を強化してほしい」と呼びかけている。
【関連記事】
・ 不正アクセスでモンベル顧客情報1万人流出、カード被害100人超
・ 電話代行サービスの悪用が横行 「ハードルの低さ」が背景?
・ 通販サイト半数が「情報漏れの危険」
・ ネット犯罪 1億3000万人分のカード情報盗む
・ 勝手にカードが使われる「クレジットマスター」の恐怖…恋人が禁断の手口に踏み込んだ裏事情
・ <日米密約>横須賀市議会が非核三原則順守の意見書案可決(毎日新聞)
・ <女子トイレ侵入>容疑で開星教諭逮捕 盗撮目的か 島根(毎日新聞)
・ <強風>札幌で33.3メートル 3月の観測では最大記録(毎日新聞)
・ <新潟市長>自ら減給処分 美術館かび・クモ問題(毎日新聞)
・ 阿久根市長、連日の出席拒否…入札問題追及予定(読売新聞)
今回の情報流出が発覚したきっかけは、モンベルのオンラインショップで買い物をした会員のクレジットカードが真夜中や明け方、ネットを通じて「ローソンチケット」のチケット購入手続きに使われたこと。カード会社が利用時間帯を不審に思い、モンベル側に連絡して明るみに出た。
「自分の会社のサイトが外部から不正アクセスされるなんて考えたこともなかった」。モンベルの男性社員は、こう打ち明ける。
情報セキュリティー対策会社「ラック」(東京都港区)によると、モンベルが被害に遭った不正アクセスの手法「SQLインジェクション」は約5年前から増え始め、当初はホームページの改竄(かいざん)など、愉快犯的な側面が強かった。
しかし、しばらくするとネット通販を行っている企業のサイトから顧客のカード番号や個人情報を流出させたり、仮想通貨を現実の通貨に換えるサービスがあるオンラインゲームのアカウント(ゲームに参加する権利)が盗まれたりする被害が出てきた。
同社によると、カード番号を転売する際には世界各国から同様の手口で流出したカード番号などを取り扱う「裏市場サイト」が使用されるという。米国国内のサイトが多く、カード番号の販売価格は1枚2〜3ドル程度というが、実態把握は難しく摘発は進んでいないという。
同社マーケティング部の権平みずえさん(31)は「モンベルのケースでは、カード番号を盗んだ人物がまず裏市場に売りに出し、それを購入した人物がチケットを換金する目的で番号を購入し不正利用した可能性がある」と指摘する。
加えて、サイトのサーバーに誤作動を起こさせるようなSQLインジェクションの手法を自動で行う攻撃用ツールが開発され、ネット上で配布されており、コンピューターに深い知識がなくても扱えるようになっていることも、被害が止まらない理由とみられる。
コンピューターウイルスやセキュリティーに関する調査を行っている独立行政法人「情報処理推進機構(IPA)」によると、不正アクセス情報を収集・分析するためIPAが開設しているウェブサイトに昨年1月から今年2月にかけて行われた不正アクセスのうち、約45%がSQLインジェクションだった。
IPAの担当者は「企業の情報漏洩(ろうえい)は信用失墜や被害弁償などの面でリスクが大きい。定期的にセキュリティー診断を受けるなど、対策を強化してほしい」と呼びかけている。
【関連記事】
・ 不正アクセスでモンベル顧客情報1万人流出、カード被害100人超
・ 電話代行サービスの悪用が横行 「ハードルの低さ」が背景?
・ 通販サイト半数が「情報漏れの危険」
・ ネット犯罪 1億3000万人分のカード情報盗む
・ 勝手にカードが使われる「クレジットマスター」の恐怖…恋人が禁断の手口に踏み込んだ裏事情
・ <日米密約>横須賀市議会が非核三原則順守の意見書案可決(毎日新聞)
・ <女子トイレ侵入>容疑で開星教諭逮捕 盗撮目的か 島根(毎日新聞)
・ <強風>札幌で33.3メートル 3月の観測では最大記録(毎日新聞)
・ <新潟市長>自ら減給処分 美術館かび・クモ問題(毎日新聞)
・ 阿久根市長、連日の出席拒否…入札問題追及予定(読売新聞)
