« ウィニーで情報流出、北海道が逆転勝訴(その2) | トップページ | 「会社法施行規則案」のパブリックコメント開始 »

2005年11月25日 (金)

ワコールの顧客情報流出

ワコールのショッピングサイトから、不正アクセスによりクレジットカード情報を含む顧客情報が流出し、実際に被害が生じているようです。

ワコールの関連ページ
ワコールオンラインショップ 顧客データの流出について

顧客情報の流出というと、内部関係者の持ち出しによるものの割合が大きいという印象があったのですが、今年に入っての特徴は、サーバの脆弱性をついたものが増えている印象があります。

不正アクセスの原因は、SQLインジェクションの対策漏れのようです(ワコールが公表している「よくいただくご質問」より)。

SQLインジェクションは、カカクコムの事件などでも問題になった脆弱性の一つですが、「よくいただくご質問」の回答でも触れられているように「SQLインジェクションによる不正アクセスへの対策を行っているとの認識をしておりましたが」と、なかなかきちんと対策を行うことは難しいのかも知れません(サーバの運営を受託していたNECネクサソリューションズはこの点について公表していないのでよく分かりませんが)。

が、今後は、SQLインジェクションといったデータベースサーバの脆弱性をつく、すなわち、顧客データをねらった意図的な不正アクセスが増えるかも知れません(素人が不正アクセスツールを使って愉快犯的に不正アクセスを行うのではなく、犯罪集団がクレジットカード情報入手して商品を購入、換金する等)ので、一層注意が必要でしょう。

顧客情報が流出してしまったとはいえ、きちんとした情報公開がなされていることは評価してもいいと思います(私自身は、情報漏洩自体はある程度不可避な問題だと思っていますので、事後的な対応が重要だと考えています)。なお、漏洩情報には氏名は含まれていなかったとのことですが、経済産業省へは報告されているようです。

|

« ウィニーで情報流出、北海道が逆転勝訴(その2) | トップページ | 「会社法施行規則案」のパブリックコメント開始 »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/125798/7254233

この記事へのトラックバック一覧です: ワコールの顧客情報流出:

« ウィニーで情報流出、北海道が逆転勝訴(その2) | トップページ | 「会社法施行規則案」のパブリックコメント開始 »