化粧品通販のヴァーナルは、通販サイトが不正アクセスを受け、1493人分のクレジットカード情報が流失したことを明らかにした。カードの不正利用が確認されているが、件数や被害額については「把握できていない」(ヴァーナル)としている。
カード番号や有効期限、氏名、商品送付先住所などが流失した。昨年11月9日に、カード会社から「不正利用された可能性のあるカードがある」との連絡を受けて調査したところ、「SQLインジェクション」と呼ばれる、アプリケーションの欠陥を利用してデータベースを不正に操作する手法により、カード情報が盗まれた可能性があることが判明。昨年10月14日から11月10日にかけて、国内とベトナム、アメリカから不正アクセスが行われていたという。
SQLインジェクション対策やウェブアプリケーションのぜい弱性修正を行ったほか、カード情報を自社サーバーのデータベース内に保持しない仕組みにするなどの対応を実施。現在は、通販サイトにおけるカードの利用を再開している。
同社では、情報が流失した可能性のある顧客にメールによる連絡を開始。カードの再発行を希望する顧客に対しては「負担がないように対応したい」(同)とする。
なお、同社では福岡県警に被害を報告したほか、1月16日には経済産業省に報告書を提出している。