音楽関係のECサイトであるサウンドハウスが今やたらとはやっているSQLインジェクションなどの不正アクセスにより個人情報が流出したという話ですが、 別にECサイトを運営している訳でもないし通販自体しないからあまり関係ないかなと思っていたけど、
サウンドハウスの取締役自ら(一部かも知れませんが)が作成した詳細の報告のPDFが興味深かった。

サウンドハウスニュース
http://www.soundhouse.co.jp/shop/News.asp?NewsNo=1561

個人情報流出に関する詳細(PDF)
http://www.soundhouse.co.jp/news/20080418.pdf

この詳細のPDFは経過報告とあわせてセキュリティ対策についての提言など被害者の立場の意見がかなり詳細に載せられています。経過報告は分刻みで乗っていたりと、セキュリティにあまり関心がない人でも一度読んで見ることをオススメ。

結果としてはサーバのセキュリティ強化する以前にサーバ内に不正に置かれていた悪性プログラムが原因になったみたいです。

SQLインジェクション(英:SQL Injection)とは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。また、その攻撃を可能とする脆弱性のこと。

SQLに別のSQL文を「注入 (inject)」されることから、「ダイレクトSQLコマンドインジェクション」とも呼ばれる。

SQLインジェクション – Wikipedia

3Dセキュア(すりーでぃー せきゅあ)は、VISA Internationalが開発したインターネットでのクレジットカード決済の本人認証技術。

オンラインショッピング等での決済時に、ショップ側が設置しているウェブサイトがクレジットカード会社が提供するWebAPIを取り込み表示する。クレジットカード番号とPIN(4桁の暗証番号)の入力はこのAPIを通して行われるため、本人認証をクレジットカード会社側が行うことになるので、より高度なセキュリティが保たれることになる。

3Dセキュア – Wikipedia