サウンドハウスでのカード情報漏洩について思ったこと

サウンドハウスっていう楽器器材の販売店があって、ここって安いし品揃えが良いんですよね。よく使わせてもらっていたんですが、クレジットカード番号を漏洩させる事件が発生しててんやわんや。という事になっています。

経緯の詳細はこちらに詳しく載っています。

http://www.soundhouse.co.jp/shop/News.asp?NewsNo=1561

僕のクレジットカード情報も実はサウンドハウスに登録されていて、なんだかたくさんメールが来るんですが、メールが来るたびにさっきの情報はこういう事でした。みたいな内容が記載されていたりして、なんだかなーと思ってしまいます。

僕も仕事の中でこの手の事件に遭遇した事があるんですが、中も今頃てんやわんやになっているんじゃないかなと思います。2008年になってもまだSQLインジェクションがどーのこーの言ってるのもどうかと思いますが、使い勝手や開発効率なんかももちろん大切ですが、最低限のセキュリティはしっかり担保したいものです。

しかしLACはおいしい商売やってるな・・・とか個人的に思います。

さてさて、今回の事件のさらに詳しい経緯が

http://www.soundhouse.co.jp/news/20080418.pdf

に記載されているんですが、興味深いのはSQLインジェクションで得たクレジットカード番号の換金方法が書かれているわけなんですが、まあ真似する人は居ないか・・・。

インターネットは少ないお金で世界中の人を顧客にする事が出来る反面、世界中の悪意のある人からも攻撃対象にされるわけです。しっかり守っていかないとあとでえらい目に逢ってしまうわけですが、なかなか潜在的なリスクなんて経営の方は分かりませんからね。

まあ、なんていうか事例紹介するならもっと詳しく書いて、さらに対策方法も記載しとけ。とか思いました。ここまで大きな話に発展したにせよ、実は原因はSQLにアクセスするユーザ権限が大雑把だったから。とかそんなもんだったりします。

ちなみに今回サウンドハウスがとった対策ってのは

IDSによる監視
プログラム見直し
データベース上のパスワード暗号化
システム構成見直し
社内管理体制見直し

なんですが、まあこれって要するにほぼ全て見直しって事ですよね。顧客パスワードくらい暗号化しといてくれよ・・・とか思いますが、サウンドハウスはよく使わせてもらってますし、今後に期待ですね。

/.の記事はコメント含め非常に面白いです。その中から元記事のサイトURLの記載もあったのでこちらも参考にしてみてください。ただし、実行する場合には自分の管理していないサーバに対してやるとダメです。

参考
サウンドハウス、情報流出について詳細な経緯を公開
攻撃方法の記載された中国のブログ

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です