November 21, 2005

ワコールの個人情報漏洩 

Category : Web技術

情報セキュリティのお勉強には恰好のネタだが、
実際になりすまし被害が出ているだけに重い話だ。

http://www.wacoal.co.jp/
http://www.wacoal.co.jp/owabi0511/

サーバへの直接的なアタックによるデータ漏洩は
割合としてはむしろ低く、珍しいケース。
情報漏洩の多くは盗難などのケアレスミスか、内部犯行によるものだ。

http://www.it-hoken.com/cat_aeieoieioeie.html
(しかしこのURLの末尾はどういう意味だ)

攻撃の矢面に立つ可能性のあるサーバには、
通常クレカ番号のようなデリケートな情報は置かないはずなので、
もしサーバ経由で漏洩という情報が本当なら、
何かのミスで攻撃されやすいサーバにデータキャッシュされていた可能性が強い。

原因についても説明をすべきだと思う。
我々も他山の石とできる。ある種社会貢献である。
あまりにも恥ずかしいミスだから言えないのだろうか?

教訓。
・対策を講じていても人為ミスは必ず起こる。
(プライバシーマーク等を取得していても当然起こりうる。他人ごとではない)
・迅速な対応のためのトラブル対策手順策定は必須。
・漏洩が発覚した際には速やかに情報開示・被害者への通知を行う。
・下着メーカーが情報を漏洩すると「そこまで見せんでええ」などと言われる。
(以下11/21PM追記)

上記HP中の「よくいただくご質問」の中で原因は説明されていた。
下記引用中の「オンラインショップ専用サーバー」が単体のサーバを指すのなら、
個人情報はかなりヤバい場所に格納されていたことになる。
ちょっとありえん、とは思うけど。

Q. サーバーにあったデータは、オンラインショップのお客様のものだけか?
A. オンラインショップ専用サーバーであり、オンラインショップご登録者様のデータだけです。 カタログショッピングのご登録者様は含まれていません。

Q. 不正アクセスの原因は何か?またいつ頃までに究明するのか?
A. NECネクサスソリューションズ株式会社の管理・運用するオンラインショップシステム において今年8月にシステム変更を行いました。SQLインジェクションによる 不正アクセスへの対策を行っているとの認識をしておりましたが、システムの一部に 対策漏れがあることがこのたびの調査で判明しました。 結果としてその対策漏れが放置されていました。 現在、さらに詳細な原因の徹底究明に向けて対応中です。

SQLインジェクションとは、
ブラウザのフォーム中にSQL文の変数に該当する文字を入力して、
データベースに格納されているデータを不正入手、
または破壊したりする手法である、
とデータベース門外漢の私が語ってみる。

Comments (0) | Trackbacks (0)

トラックバック

このエントリーのトラックバックURL:
http://www.hanrasen.com/mt/mt-tb.cgi/11

コメント

(もしよろしければ)コメントを御記入ください。
なお、御記入頂いたメールアドレスは公開されません。




保存しますか?

(書式を変更するような一部のHTMLタグを使うことができます)