November 21, 2005

ワコールの個人情報漏洩 

Category : Web技術

情報セキュリティのお勉強には恰好のネタだが、
実際になりすまし被害が出ているだけに重い話だ。

http://www.wacoal.co.jp/
http://www.wacoal.co.jp/owabi0511/

サーバへの直接的なアタックによるデータ漏洩は
割合としてはむしろ低く、珍しいケース。
情報漏洩の多くは盗難などのケアレスミスか、内部犯行によるものだ。

http://www.it-hoken.com/cat_aeieoieioeie.html
(しかしこのURLの末尾はどういう意味だ)

攻撃の矢面に立つ可能性のあるサーバには、
通常クレカ番号のようなデリケートな情報は置かないはずなので、
もしサーバ経由で漏洩という情報が本当なら、
何かのミスで攻撃されやすいサーバにデータキャッシュされていた可能性が強い。

原因についても説明をすべきだと思う。
我々も他山の石とできる。ある種社会貢献である。
あまりにも恥ずかしいミスだから言えないのだろうか?

教訓。
・対策を講じていても人為ミスは必ず起こる。
(プライバシーマーク等を取得していても当然起こりうる。他人ごとではない)
・迅速な対応のためのトラブル対策手順策定は必須。
・漏洩が発覚した際には速やかに情報開示・被害者への通知を行う。
・下着メーカーが情報を漏洩すると「そこまで見せんでええ」などと言われる。
(以下11/21PM追記)

上記HP中の「よくいただくご質問」の中で原因は説明されていた。
下記引用中の「オンラインショップ専用サーバー」が単体のサーバを指すのなら、
個人情報はかなりヤバい場所に格納されていたことになる。
ちょっとありえん、とは思うけど。

Q. サーバーにあったデータは、オンラインショップのお客様のものだけか?
A. オンラインショップ専用サーバーであり、オンラインショップご登録者様のデータだけです。 カタログショッピングのご登録者様は含まれていません。

Q. 不正アクセスの原因は何か?またいつ頃までに究明するのか?
A. NECネクサスソリューションズ株式会社の管理・運用するオンラインショップシステム において今年8月にシステム変更を行いました。SQLインジェクションによる 不正アクセスへの対策を行っているとの認識をしておりましたが、システムの一部に 対策漏れがあることがこのたびの調査で判明しました。 結果としてその対策漏れが放置されていました。 現在、さらに詳細な原因の徹底究明に向けて対応中です。

SQLインジェクションとは、
ブラウザのフォーム中にSQL文の変数に該当する文字を入力して、
データベースに格納されているデータを不正入手、
または破壊したりする手法である、
とデータベース門外漢の私が語ってみる。

Comments (2) | Trackbacks (0)

トラックバック

このエントリーのトラックバックURL:
http://www.hanrasen.com/mt/mt-tb.cgi/11

コメント

Comment From: payday loans toronto

Your website is very great. I enjoyed your website a lot. Thank you.

Posted Time: 10/07/07 11:58
Comment From: payday loan canada

Your post is very useful. Give thanks to you truly for delivering plenty of useful ideas. Most definitely i'll bookmark your blog page and will be without doubt returning. Once again, I value your entire work combined with providing much useful material to the people.

Posted Time: 10/08/25 16:11

(もしよろしければ)コメントを御記入ください。
なお、御記入頂いたメールアドレスは公開されません。




保存しますか?

(書式を変更するような一部のHTMLタグを使うことができます)