今日はITコンサルティングと、HP制作の仕事を行っていました。
さて、今日はセキュリティのお話です。
アウトドア用品販売の大手モンベルが、SQLインジェクションによりクレジットカード番号を盗まれるという事件が起きていたそうです。
不正アクセスでモンベルの顧客情報1万人流出、カード被害100人超
SQLインジェクションとは、Webページを通じてデータベースとの通信を行う際に、Webサイト側の脆弱性を利用して不正なSQL文(データベースを動かす命令)を改ざんして、意図しない動きをさせ、IDやパスワード、個人情報などを盗む方法です。
今回は、クレジットカード番号を盗むのに使われてしまったようですね。
クロスサイトスクリプティングと並ぶくらい、非常にポピュラーな(といったら語弊がありますが)攻撃手法です。
大手のショッピングサイトや決済代行システムでは、これらの脆弱性を厳重にチェックしますが、自社で内製して決済周りを作ってしまった会社などによくこの問題が発生します。
なお、クレジットカードが不正に利用されてしまった消費者は、今回のようなケースではクレジットカード会社が損失分を負担してくれると思います。(ただし非常に気持ち悪い思いはすると思います)
モンベルでは現在、クレジット決済を停止し、商品代引のみに限定して販売を続けているようです。
ネットショッピングは伸びている分野ですし、またクレジットカードを利用している方も大勢いると思います。
自社で決済周りを内製しているところや、会員制サイトを作っているところは、Webサイトに脆弱性がないか常に注意しておく必要がありますね。