大手下着メーカーのワコール(本社:京都市)のオンラインショップが不正アクセスを受け、4,757名の顧客情報が流出した事件で、新たに367名の顧客情報が流出していたことが24日わかった。
同サイトの開発と運営を行っているNECネクサソリューションズ(本社:東京都港区)によると、新たに判明した367名のうち117名分にクレジットカード情報(カード番号と有効期限)が含まれてたという。19日発表分と合わせると計5,124名の顧客情報流出が確認され、カード情報の流出は計2,016名に上る。
ワコールでは、22日から対象者に対する説明と謝罪を始めており、今回判明分に関しても26日にメールを配信。順次、別途連絡をとるよう進めているという。カード情報の流出に関しては、カード会社に対しカード番号の変更等の対策を要請。これまでのところカード情報流出による金銭的な被害は確認されていないが、確認された場合はその内容に基づいて、同社とNECネクサソリューションズの両社が誠意をもって対応するとしている。
不正アクセスの原因については、その後の調査で「SQLインジェクション」という手法を使った攻撃であることが判明。同オンラインショップシステムでは、今年8月にシステム変更を行い、SQLインジェクションによる不正アクセス対策を行っていたが、システムの一部に対策漏れがあることが調査でわかったという。
【解説:SQLインジェクション】
データベースへのリクエスト(SQL:Structured Query Language~データベースの処理言語)の中に不正な文字列を挿入(injection)し、外部からデータベースを操作する手法。
(2005/11/28 ネットセキュリティニュース)
■ワコールオンラインショップのお客様データ流出に関するお詫びとデータの追加流出に関するお知らせ(NECネクサソリューションズ)
http://www.nec-nexs.com/news/info/051124.html
■お客様情報の流出に関するお詫びとご説明(ワコール)
http://www.wacoal.co.jp/owabi0511/
■セキュリティ関連ニュース
・ワコール、不正アクセスでカード情報を含む4,757名の顧客情報流出(2005/11/21)