2016年03月07日
グリコ、顧客の個人情報8万3千件流出か
江崎グリコ、顧客の個人情報が流出--通販サイトに不正アクセス
2016年03月07日14時28分 CNET Japan
江崎グリコは3月7日、同社の通販サイト「グリコネットショップ」において、クレジットカード情報および商品の届け先などを含む個人情報が、不正アクセスにより外部に流出したと発表した。同社によれば、流出した可能性のある個人情報は8万3194件で、うちクレジットカード情報を含む個人情報が4万3744件。流出した可能性のある情報は、氏名、住所、電話番号、メールアドレス、クレジットカード情報(番号、有効期限、カード名義)、届け先情報、家族情報。江崎グリコによれば、1月29日にクレジットカード会社からカード情報流出の懸念について連絡を受け、同日にグリコネットショップにおけるクレジットカード決済を停止。同時に第三者調査機関であるPayment Card Forensicsへ調査を依頼し、2月1日に調査を開始した。2月29日に同調査機関より最終調査報告書を受領のうえ、カード会社などと対応を協議し、今回の報告に至ったという。
現在では、流出した可能性のあるクレジットカード番号を同社から各クレジットカード会社に提供し、クレジットカード会社と連携して、不正取引の防止に向けたモニタリングを継続して実施しているという。

かなり末期的な。救いようのない事件だおね(゚д゚)、ペッ
本当にどこまでの情報が漏れたのかはやや不確かではあるものの
どうもクレジットカード情報がダダ漏れだったという方向に落ち着きつつある様子

クレカ情報の漏洩は最大で4万人分以上というかなり酷いケースだにょ(σ´∀`)σ
あれだけ色んな会社で情報流出や情報漏えいが起きてたのにもかかわらず
かなり救いようのない規模で、尚且つあまりにずさんとしか言いようのないお粗末な事件

正直いってここまでくるとアホなんじゃないかと呆れてしまうお

いつもおもうのだけどなんでそもそも外部から個人情報にアクセス可能なんですかね

コレって、本来ならそこさえ堅守しとけば防げる事件なんだおね(´・ω・`)
個人情報が保存されてるところ(データベース?)を外部からアクセス可能な
ネットワークから切り離しとく運用しとけば十分に回避できてたような事故でそう(´・ω・`)
それともなにも考えずで適当に個人情報をずさんに放置してたことが要因なのか
そのへんの詳細は不明だけど、あまりにもバカバカしい低レベルな事件に思えます

やっぱりお菓子会社だから情報管理なんて適当なんですかにょ(σ´∀`)σ
この記事へのコメント
1. Posted by 通りすがりA 2016年03月08日 10:32
DBに直接アクセスはできなくなってると思いますよ。ここまで大規模に引き抜けるということは、「SQLインジェクション」攻撃だと思います。
webシステムは端的にいうと「この情報をDBから取得して表示しろ」という命令の繰り返しで動いてます。開発者の意図と違う、攻撃者の意図通りのデータを取得する命令を発行できたとしたら、情報ダダ漏れになります。
その手法が「SQLインジェクション」です。
会員番号「1001」の人でログインしてるとしたら、裏ではこんな命令が飛んでます。
「会員番号が1001である人の登録情報を取得して表示せよ」
SQLインジェクションの場合はこういう命令に書き換えます。
「会員番号が1001である、または会員番号が1001と等しくない人の登録情報を取得して表示せよ」
この場合、全会員が対象になりますよね。
SQLインジェクションはメジャーな手法で、脆弱性試験をしたら一発でわかります。
おそらく、脆弱性試験の費用をけちって実施していないか、定期的に脆弱性試験を行わず追加機能に穴があったかのどちらかです。
セキュリティ管理体制が整っていない
以下は、過去にSQLインジェクションで情報漏えいした事件の例です。
http://www.itmedia.co.jp/enterprise/articles/1507/30/news091.html
http://www.keyman.or.jp/at/30007393/
ご参考まで。
webシステムは端的にいうと「この情報をDBから取得して表示しろ」という命令の繰り返しで動いてます。開発者の意図と違う、攻撃者の意図通りのデータを取得する命令を発行できたとしたら、情報ダダ漏れになります。
その手法が「SQLインジェクション」です。
会員番号「1001」の人でログインしてるとしたら、裏ではこんな命令が飛んでます。
「会員番号が1001である人の登録情報を取得して表示せよ」
SQLインジェクションの場合はこういう命令に書き換えます。
「会員番号が1001である、または会員番号が1001と等しくない人の登録情報を取得して表示せよ」
この場合、全会員が対象になりますよね。
SQLインジェクションはメジャーな手法で、脆弱性試験をしたら一発でわかります。
おそらく、脆弱性試験の費用をけちって実施していないか、定期的に脆弱性試験を行わず追加機能に穴があったかのどちらかです。
セキュリティ管理体制が整っていない
以下は、過去にSQLインジェクションで情報漏えいした事件の例です。
http://www.itmedia.co.jp/enterprise/articles/1507/30/news091.html
http://www.keyman.or.jp/at/30007393/
ご参考まで。
2. Posted by PCパーツの名無しさん 2016年03月10日 05:44
YJFX! 元従業員が顧客情報(18万件)持ち出して、
ネットで公開してたの全然ニュースにならないね
不思議...
ネットで公開してたの全然ニュースにならないね
