(株)マウスコンピューターは6日、同社のウェブサイトを通じてパソコンなどの製品を購入した顧客がその購入情報を確認する“オーダーステータスシステム(発注状況確認システム)”に不具合があり、購入者自身以外の発注情報をウェブブラウザー上から閲覧できる状況にあったことが判明したと発表した。同日19時40分から21時10分まで同システムを停止した上で対応し、現在はシステムが復旧するとともに購入者以外の情報が閲覧されないようシステムを変更しているという。
上記の不具合で確認可能となっていた対象購入者は、平成15年(2003年)6月20日から平成19年(2007年)3月5日までに、同社ウェブサイトで製品を購入した顧客(法人含む)、合計10万6775件。閲覧可能な状況にあった情報は、見積書に記載される氏名、住所、電話番号、(住所以外への送付を希望した場合の)配送先の4点。クレジットカード番号などの決済に関する情報は含まれない。
今回の不具合は、オーダーステータスシステムを使った顧客が特定の操作(非公開)を行なうことで発注者本人以外の情報も閲覧できると気づき、それを同社に報告したことで発覚した。同社に確認したところ、利用者が情報を記入する欄に特定のコマンドなどを含む文字列を記入することで情報を引き出す“SQLインジェクション”とは異なり、多数のユーザー情報が一度に露呈してしまう(一覧できてしまう)といった不具合ではないとのこと。また、アクセスログを調査した結果、現時点では複数の個人情報を抜き取り、収集するような操作・行動は確認されていないという。
同社では、今回の不具合の発生原因について、「平成17年11月、全社的なセキュリティ対策を実施いたしましたが、オーダーステータスシステムの変更作業をおこなった際、同システム上に不備が発生したためであります。なお、不備発生の時期につきましては、現時点におきましては確認できておりません。」としている。
なお、利用者に向けての告知は、同社ウェブサイトを通じたプレスリリースの発行に止まり、個別の連絡・案内などは行なっていないが、今回の件を含む個人情報に関する問い合わせ専用番号(Tel.03-3851-3855)が用意されている。
