ロジネットジャパンは6月24日、子会社の札幌通運が事業運営している旅行代理業で、不正アクセスで個人情報が漏えいした件で、6月16日付で観光庁に報告書を提出したと発表した。
報告書概要によると、第三者の調査機関の調査結果より、サッポロ通運の旅行代理店業のホームページに対し、SQLインジェクション攻撃という不正アクセスの形跡があったとされている。
システムのプログラムの一部が書き換えられるなどの何らかの要因によって、2015年10月1日から2016年3月4日までの期間に顧客がホームページの決裁画面に打ち込んだ2519件の個人情報(氏名、住所、電話番号、メールアドレス、クレジットカード情報(番号、有効期限)が外部に漏えいしていたものと判断したとしている。
問題点として、情報漏えい懸念を確認してから、報告・公表が遅かったこと。社内において、本件発覚後カード情報漏えいの拡散防止を主に対応してきたが、カード情報以外の個人情報の漏えいの懸念があったことから、個人情報取扱事業者として対応に不備があったこととしている。
現在の状況として、今年2月にファイアウォールの冗長化を実施。第三者の調査機関による調査では、今回の情報漏えいの直接要因とされている、SQLインジェクション攻撃に対しては、5月23日現在で脆弱性はないとされている。
なお、3月4日にホームページ上でのクレジットカード決済を停止しており、以降のカード情報に関しての漏洩はないという。
