「対策漏れ」をSQLインジェクションで突かれたワコール

[ITmedia]

　ワコールは11月22日、同社のECサイト「ワコールオンラインショップ」が不正アクセスを受けて4757人分の個人情報が流出した事件に関し、手口はSQLインジェクションによるものであることを明らかにした（関連記事）。

　この事件では、ワコールオンサインショップのWebサイトを管理、運用していたNECネクサソリューションズのサーバが不正アクセスを受けた。

　ワコールが「よくいただくご質問」で更新した情報によると、NECネクサソリューションズでは8月にシステム変更を行い、ワコール側では「SQLインジェクションによる不正アクセスへの対策を行っているとの認識をしていた」。しかし「システムの一部に対策漏れがあることがこのたびの調査で判明」したという。

　SQLインジェクションとは、Webアプリケーションの実装の不備により、攻撃者の不正な入力を通じてSQL文が実行させられ、パスワードなしでのログインやデータベース中の情報の詐取、コマンドの実行などさまざまな不正アクセスを許してしまう手法だ。5月以降、複数のWebサイトがSQLインジェクションによる攻撃を受けたことから、対策の必要性が呼びかけられていた。