オンラインショップ加盟店における顧客情報管理に関するご注意

 昨今、一部オンラインショップ加盟店が運営するサイトのサーバーが外部からの不正アクセスを受け、クレジットカード情報を含む顧客情報が漏洩する事案が発生しており、特にSQLインジェクションという手口による被害が多発しています。
 万一、加盟店さまのサイトでこのような不正アクセスが発生した場合、顧客情報の漏洩が懸念され、ご利用のお客さまに多大なご心配とご不便をおかけすることになります。また、第三者が漏洩したクレジットカード情報を悪用する「なりすまし不正使用」被害の発生も懸念されます。
 加盟店さまにおかれましても、お客さま対応のために貴重な時間やコストを費やすことになり、さらに情報管理に関する企業の信用にも大きなダメージを受けることとなります。
 また、弊社といたしましても、安全性の確認がなされるまで、クレジットカード取引を停止させていただく場合があります。
 オンラインショップ加盟店の皆さまにおかれましては、今一度、自社のWebシステムのセキュリティ状況をご確認いただき、必要に応じた強化対策を講じていただきますようお願いいたします。
  
<SQLインジェクションとは>
 データベースと連携したウェブアプリケーションの多くは、利用者からの入力情報を基にデータベースへの命令文を組み立てています。ここで、命令文の組み立て方法に問題がある場合、攻撃によってデータベースの不正利用を招く可能性があります。この問題を悪用した攻撃手法が「SQLインジェクション」と呼ばれています。
独立行政法人情報処理推進機構のホームページ(http://www.ipa.go.jp/)において、SQLインジェクションの概要及び対応策、診断ツール等が掲載されておりますのでご参照ください。