ワコール、ネットから4758人分の顧客情報流出

事件・事故

　連日、ネットからの不正アクセスによる個人情報流出のニュースが流れているが、下着メーカーのワコールで同様の事件が発覚した。クレジット・カードの情報が盗まれ悪用されかかったようである。実際に引き落としまで流れてしまった被害はないようだが。

中日新聞ホームページへようこそ

流出したのは七月十四日－十一月九日にネットショッピングで商品を購入した顧客の情報。この間、実際には約二万四千三百人が利用していた。今月七日、顧客から「インターネット上の有料ゲームサイトでカードを不正使用された可能性がある」と問い合わせがあり調査を開始。外部からの不正アクセスの形跡が、十月中旬の四日間にあったことが十八日、判明した。同社では流出拡大を防ぐため、十七日夜からネットショッピングの運用を停止している。

11/22の現在、ワコールのサイトではお詫びが掲載されていた。

お客様情報の流出に関するお詫びとご説明

このたび、株式会社ワコールがインターネットショッピングシステムの運用業務を委託しているＮＥＣネクサソリューションズ株式会社が管理するサーバーに外部からの不正アクセスがあり、顧客データが流出したことが判明しました。お客様にご迷惑をおかけいたしましたことを深くお詫び申し上げます。

(2005.11.23)
続報で、不正アクセスの原因が判明したそうだ。「SQL injection」が、原因だそうだが、なんじゃそれ？

ワコールのECサイト、不正アクセス被害の原因はSQLインジェクション

ワコールが22日付で更新した「よくいただく質問」で明らかにした。これによると、NECネクサスソリューションズに運用を委託しているECシステムを8月に変更し、SQLインジェクション対策を行なっていると認識していたが、システムの一部に対策漏れがあることが今回の調査で判明。結果として、その対策漏れが放置されていたと説明している。さらに詳細な原因の徹底究明に向けて対応中だという。

そこで、更にググると、

[HotFix Report] セキュリティ用語－SQLインジェクション（SQL injection）

リクエストのパラメータにSQL文を与えてSQLデータベースを不正に操作する攻撃、またはその攻撃を可能にする入力値の未チェックの脆弱性のこと。「ダイレクトSQLコマンド・インジェクション」とも呼ばれる。

と言うことで、WEBから通常の検索ではなくて、SQL文そのものを、検索画面に投入して、WEB画面が想定していない内部のデータを盗んだり、変更したりする行為等のようだ。画面では自分のユーザーコード、パスワードを入力してログインする画面に対して、全員のユーザーコードやパスワードを検索するSQL文がそのまま使えてしまうような構造だったわけだ（実際にはどのようにして何を得たとかは不明だが、これは考えの例です）。