通販サイトの「ナチュラム」で、約65万件の個人情報流出の可能性があるそうです。
怖いですね~
なにが?
私は、今、ネット販売の仕事をしています。
このような事件が起こる事によって、ネット全体の信用が落ちる事が怖いです。
このような事件は、防げないのでしょうか?
人間が作るいじょうは、100%なんてありえません。
でも、ある程度は予防できます。
では、今回の事件はどうでしょうか?
まず、ハッキングする方法です。
ほとんどが、プログラムのバグを付いたものだと思います。
バグとは、プログラムのミスみたいなものです。
これには、一応名前があります。
まずは、バッファオーバーフローです。
プログラム言語に、C言語ってのがあります。
そのC言語の仕様をつきます。
市販されている、Windowsのソフトはほとんど、C言語で作られていると思います。
ま~、正確には、C言語を拡張したC++って言語で作られていると思いますが・・・
また、このC言語は、インターネットの世界でも使われます。
たとえば、サーバーのプログラムです。
サーバー?
たとえば、あなたがこのブログにアクセスしたとします。
それは、このブログのデータを置いた、サーバーにアクセスした事になります。
なんか難しいそうでが、このブログのデータを頂戴って命令に、ハイどうぞって渡すだけのソフトです。
そのサーバーに、不正なデータを送り込むやり方が、バッファオーバーフローです。
もう少し詳しく書きたいのですが、今回のハッキングはこれとは違うようです。
もう一つのやり方が、今回の事件の原因だあろうSQLインジェクションです。
なんか、難しそうな名前です。
テレビドラマなどを見ていると、ハッキングシーンなどを見ることがあります。
ま~、コンピュータが一般的になった証拠ですね~
そのシーンでは、ハッキングする人が、キーボードを目にも止まらぬ速さで打っています。
私など、いったい何してんだ~って見ています。
実際には、あんな事しないと思いますが・・・
では、SQLインジェクションです。
今のホームページは、プログラムを使ったところが沢山あります。
たとえば、ネット販売のサイトです。
あのショッピングカートは、プログラムで動いています。
ネット販売のサイト以外では、掲示板やブログもそうです。
もちろん、このブログもそうです。
そして、データ保存に、データベースってソフトを使います。
このデータベースに、データを出し入れする命令の名前がSQLです。
それって、どんなの?
SELECT パスワード FROM パスワード
こんな感じです。
意味は、パスワードって入れ物の、パスワード項目を表示させなさいって感じです。
SQLってあんまり見ないかも知れません。
ところで、エクセルやワードの仲間に、アクセスってソフトがあります。
これも、分類的には、データベースの仲間です。
これも、SQLを使います。
えっ!そんなの使って事ないぞ~
って思うかもしれません。
でも、影でこっそり使われています。
で、SQLインジェクションのやり方です。
ネット販売の注文ページなどに、名前などを入れるところがあります。
その名前などを入れるところに、SQLの命令を入れます。
先ほどの例で言うと、”SELECT パスワード FROM パスワード”って言う命令を入れます。
すると、そのサイトにログインするパスワードなどが出てきます。
もう後は簡単、サイトに入ってすき放題。
これが、SQLインジェクションを使ってのハッキングのやり方です。
よ~し、私もやってみよう
って思った方いませんか?
もし、そんなに簡単にできるなら、ネット販売なんて怖くて使えません。
だから、プログラムを作るときに、送られてきたデータが正しいかチェックするプログラムを作ります。
正確に言うと、SQLやジャバスクリプトを無効にする処理をします。
でも、この処理ですが、けっこー忘れます。
大事な事なんですが・・・
だって、面倒なんだも~ん。
今回は、メンテナンス用のサーバーから侵入されたようです。
ま~、メンテナンス用だし、いいか~って感じで軽く考えていたのかもしれませんね。
つまり、今回の事件は防ごうと思えば、防げたかも知れない事件と言う事です。
このような事件の場合、記事を書く人がコンピュータについて詳しくありません。
場合によったら、コンピュータは悪のように書く人もいます。
でも、今の世の中、コンピュータ無しには生活できません。
不安をあおる事ばかりせず、正確な情報を伝える事を心がけてほしいです。
ところで、私のやっているネット販売のお店は大丈夫です。
だからご利用ください。
えっ!どこ?
それは秘密です。
通販サイト「ナチュラム」で約65万件の個人情報流出の可能性
ミネルヴァ・ホールディングスは6日、連結子会社のナチュラム・イーコマースが運営するショッピングサイト「アウトドア&フィッシングナチュラム」において、外部からの不正アクセスにより個人情報が流出した可能性があるとして、事態を公表した。流出した可能性のあるデータは65万 3424件で、そのうちクレジットカード番号(下4桁を除く)が含まれるものが8万6169件あったとしている。
ミネルヴァ・ホールディングスによれば、7月9日にクレジットカード会社からカード情報流出の可能性があるとして調査依頼があり、7月10日にセキュリティ専門会社による調査を開始。外部からの不正アクセスの痕跡が発見され、この時点では情報流出の有無は不明であったが、不正アクセスの可能性のある外部からのルートをすべて遮断するとともに、システム内のクレジットカード情報をすべて削除し、クレジット決済を一時休止したという。
その後、7月18日に個人情報を閲覧された痕跡が確認されたため、流出の可能性がある顧客の特定作業を開始。8月6日に、Webサイトで事態を公表するとともに、流出の可能性がある顧客に対してメールを配信したという。また、カード決済については、セキュリティ専門会社による診断により安全性が確認されたため、7月22日から再開したとしている。
不正アクセスの原因については、セキュリティ専門会社の分析の結果、犯人はメンテナンス用のサーバーに不正侵入し、このサーバーを経由してWebサーバーに不正アクセス用のプログラムを設置したと推定している。 この不正アクセス用プログラムにより、2000年5月~2008年7月10日の間に買い物や会員登録などをした顧客の個人情報を収めた「顧客マスター」が閲覧され、個人情報が流出した可能性が高いとしている。不正侵入については、SQLインジェクション攻撃を足がかりとして行われた可能性が濃厚だとしている。
顧客マスターには、ショッピングサイトの「アウトドア&フィッシングナチュラム」「ナチュラムモバイルショップ」のほか、ブログサービス「blog@naturum」の利用者情報が記録されていた。顧客マスターの個人情報項目は、必須項目がユーザーIDとパスワード、氏名、メールアドレスの4項目。任意項目が住所や携帯電話番号、電話番号、FAX番号、生年月日、クレジトカード名義、クレジットカード有効期限、クレジットカード番号(下4桁は保持していない)、家族構成管理コード、性別管理コードの10項目となっている。
ミネルヴァ・ホールディングスでは、事態を公表するとともに、事件の経緯や流出した可能性のあるデータの内容、事件に関するFAQを開設したほか、フリーダイヤルによる問い合わせ窓口を設置。ユーザーに対して説明を行うとともに、登録パスワードの変更を求めている。
また、カード情報については、流出の可能性がないと思われる情報も含めてすべてのカード情報(24万2741件)をクレジットカード会社と共有して対応にあたるが、念のためにクレジットカードの利用明細を確認し、身に覚えのない利用履歴があった場合には早急にカード会社に相談してほしいとしている。
コメント