ワコールのオンライン・ショップに不正アクセス,4757人分の顧客情報が流出:IT Pro
ワコールは11月19日,同社ECサイト「ワコールオンラインショップ」の顧客4757人分の個人情報が流出したことを明らかにした。1899人については,クレジット・カード情報も流出しているという。原因は,NECネクサソリューションズへ管理を委託しているオンラインショップ・システムへの不正アクセス。
ITmedia エンタープライズ:「対策漏れ」をSQLインジェクションで突かれたワコール
手口はまたもやSQLインジェクション,ワコールオンラインショップへの不正アクセス:IT Pro
「オンラインショップをシステムを管理,運営しているNECネクサスソリューションズが今年8月にシステム変更を行い,SQLインジェクションによる不正アクセスへの対策を行っていると認識していた。しかし,システムの一部に対策漏れがあることがこのたびの調査で判明した。結果としてその対策漏れが放置されていた」(ワコール)。
ワコール情報流出、欧州2国経て侵入…京都府警調べ : ニュース : 関西発 : YOMIURI ONLINE(読売新聞)
下着メーカー「ワコール」(本社・京都市)の「オンラインショップシステム」から、利用者のクレジットカード番号などの顧客情報が流出した事件で、ドイツやオーストリアのサーバーを経由し、不正な指令を入力してデータベースを操作する「SQLインジェクション」という手口で情報が盗み出されていたことが、京都府警の調べでわかった。ネット上に不正アクセス用のツールが出回り、こうした手口による被害が最近、増加しており、府警は不正アクセス禁止法違反容疑で捜査、国際刑事警察機構(ICPO)を通じ、両国の捜査当局に通信記録の入手を要請している。
流出は昨年11月、顧客から「身に覚えのないオンラインゲームの利用料金の請求が来た」との問い合わせがあって発覚。同社が調査した結果、5回の不正アクセスで、5124人分の情報が引き出され、うち2016人分はクレジット番号と有効期限が含まれていた。
府警は、大阪府内にある管理会社のサーバーの通信記録を分析。何者かが発信元を隠すために、少なくとも2か国のサーバーを通じてアクセス、「SQLインジェクション」でデータベースに侵入したことを突き止めた。管理会社が昨年8月、プログラムを変更した際、不正アクセスへの対策を怠っていたという。
官公庁や企業の情報セキュリティーの管理を請け負うラック(東京)の新井悠担当部長は「コスト削減でセキュリティー部分の開発が後手に回ったり、利便性を優先させたりなど、認識の甘い企業がまだ多い。どのサイトも攻撃の標的となりうるので、早く対応するべき」と指摘する。
◆SQLインジェクション 2000年ごろからハッカー間に広まり、04年夏にアメリカで開発された攻撃を自動的に実行するツールが、ネット上に出回り被害が急増。昨年、「価格コム」など14社のサイトから約52万人の個人情報を盗んだ東京都内の中国人留学生も、ツールを使用していた。1時間で1万件以上の情報を抜き出せるものもあるという。
(2006年01月20日 読売新聞)
Leave a comment