ワコールは,同社のECサイト「ワコールオンラインショップ」からの個人情報漏洩(関連記事)の手口が「SQLインジェクション」と呼ばれる不正アクセス手法であることを明らかにした。「SQLインジェクションへの対策を行っていると認識していたが,対策漏れがあった」(ワコール)。
SQLインジェクションとは,データベースを操作するSQL文またはその一部を外部から入力データとして送信する不正アクセス手法。2005年に発生したカカクコム(関連記事)やOZmall(関連記事)への不正アクセスも,SQLインジェクションによるものであることが明らかになっている(関連記事)。
「オンラインショップをシステムを管理,運営しているNECネクサスソリューションズが今年8月にシステム変更を行い,SQLインジェクションによる不正アクセスへの対策を行っていると認識していた。しかし,システムの一部に対策漏れがあることがこのたびの調査で判明した。結果としてその対策漏れが放置されていた」(ワコール)。
ワコールによれば,11月18日までに,不正に使用されたのではないかという問い合わせが10件あった。不正使用されたのはインターネット上のゲームサイトで,JCB,DC,VISAなど11社とその提携カードが対象となっている。
顧客からの問い合わせは,同社の「通信販売事業部カスタマーセンター」で受け付けている(電話番号 0120-114-056,0120-113-056)。
◎参考資料
◆ワコールオンラインショップ 顧客データの流出について(ワコール)
◆最新情報(ワコール)
◆ワコールオンラインショップ 顧客データの流出について(NECネクサソリューションズ)
