先月日本のいくつかのサイトでSQLインジェクション攻撃を受けたらしいです。トレンドマイクロのサイトが攻撃されたということでご存知の方も多いと思います。
そんな中で
http://itpro.nikkeibp.co.jp/article/NEWS/20080407/298248/
自分も利用しているネットショップから個人情報流出しかもしれないというメールがきてしまったので人事ではないのです。
したかもしれないというのは、SQLインジェクションという手法を使われたので実際どんなクエリが実行されたか調査中ってことなんでしょうが、
「SQLインジェクションという手法でサイトに侵入する手口が今回、使われたこともわかっており、只今どの範囲でデータが流出した可能性があるか、最終確認をしております。少なくとも2007年1月1日より以前に新規会員登録を済まされているお客様のデータの流出はないようです。」
この2007/1/1より以前は大丈夫ってのがよくわからないのですが、別テーブル?暗号化してる?そこまでわかってるならどんなクエリが流れたのかわかるような気もするのですが・・・
そうこうしているうちにショップからあなたの個人情報は流出してませんでした。という通知がきました。
2007年1月1日~2008年3月22日までに新規会員登録を行ったお客様のデータ、総数122,884件の内、最大97,500件まで下記のデータが流出した可能性があります(内カード情報保有データ27,743件)。
流出してませんでしたということは、この残りの25,000件のうちにいたのだと思いますが。ここまで具体的な数字がでているのに、”可能性”という言葉を使っているのはどうしてでしょう。
もし使わかったらどうなるかやってみました。
122,884件の内、最大97,500件まで下記のデータが流出ました(内カード情報保有データ27,743件)。
・・・ちょっと厳しい文面ですが正直でいい気がするぞ。
多少ググッてみたところ、今回のはASPの脆弱性をついた可能性があるということで、中国には「SQL注入工具」など攻撃用のツールがあり、攻撃先として日本企業を列挙したりしてるそうなのです。これって普通に犯罪の助長にあたると思うのですが、取り締まれないのは治外法権なんでしょうか??
オリンピックがあるからおとなしくしているのかと思いきや、最近の中国の騒動には目を疑うことばかりです。