SQLインジェクションでナチュラム・イーコマースの個人情報が65万件漏えいした可能性があるそうです

アウトドア商品や釣り具を扱う通販サイトを運営する「ナチュラム・イーコマース」は2008年8月6日，外部からの不正アクセスにより65万3423件の個人情報が流出した可能性があると発表した（発表資料）。「SQLインジェクション」と呼ぶ攻撃手法を用いた不正アクセスで，顧客マスター全件を閲覧された。「迷惑をおかけしたお客様や関係者に深くお詫びしたい」とナチュラム・イーコマースの中島成浩代表取締役社長は語る。

【速報】通販サイト大手のナチュラム，65万件以上の個人情報を漏えい | 日経 xTECH（クロステック）

これは新しいカード管理方法、助かったねぇ。

会員情報として8万6169件のクレジットカード情報が登録されていた。ただし，登録されていたカード番号は全16ケタのうち先頭12ケタだけ。下4ケタは登録せず，買い物をするたびにユーザーが入力し直す仕組みだった。

【速報】通販サイト大手のナチュラム，65万件以上の個人情報を漏えい | 日経 xTECH（クロステック）

ASPとか置かれるんですねぇ・・・ぁー、結構きついなぁ・・・

セキュリティ専門ベンダーのラックに調査を依頼したところ，まず不正プログラムの有無をチェックするように指示された。ラックがナチュラム本社（大阪市中央区）に向かう間に，同社のシステム担当者が身に覚えのないASP（Active Server Pages）プログラム（バックドア）を発見。同日深夜には，クレジットカード情報を顧客マスターから削除し，カード決済を自主的に一時停止した。

【速報】通販サイト大手のナチュラム，65万件以上の個人情報を漏えい | 日経 xTECH（クロステック）

ラックさん指導の元、素晴らしいマスコミ対策。情報管理。

ナチュラムは今回の公式発表と同時に，漏えい対象の顧客に対してメールによる告知を開始した。120人体制のコールセンターを準備し，顧客からの問い合わせに対応するという。

【速報】通販サイト大手のナチュラム，65万件以上の個人情報を漏えい | 日経 xTECH（クロステック）

関連URL

• 「アウトドア＆フィッシング　ナチュラム」への不正アクセス発生についてのご報告とお詫び