毎日茹だるような暑さに、まいりつつあります。

北極海では水深2400メートルの海底で、
熱水を噴出する煙突状の穴「ブラックスモーカー」が見つかったそうです。
400度の熱水が噴出しているとか！！

なぜ400度の超熱水が海水の中に存在しうるか？
超臨界流体（３７４℃、２２０気圧）→
超臨界水（３７４℃以上、２２０気圧）となるわけです・・・
妖怪人間ベムのオープニングのような状態ですｗ
気体と液体が共存できる限界の温度・圧力（臨界点）を超え、
気体と液体と両方の性質を併せ持つそうです。
かなり前に覚えた知識なので、ちと得る覚え＾＾；；

通販サイト大手のナチュラム、65万件以上の個人情報を漏えい
クレジットカード情報も8万6000件漏れる。
アウトドア商品や釣り具を扱う通販サイトを運営する「ナチュラム・イーコマース」は2008年8月6日，外部からの不正アクセスにより65万3423件の個人情報が流出した可能性があると発表した（発表資料）。「SQLインジェクション」と呼ぶ攻撃手法を用いた不正アクセスで，顧客マスター全件を閲覧された。「迷惑をおかけしたお客様や関係者に深くお詫びしたい」とナチュラム・イーコマースの中島成浩代表取締役社長は語る。
　漏えいした顧客マスター・データベースには，会員情報として8万6169件のクレジットカード情報が登録されていた。ただし，登録されていたカード番号は全16ケタのうち先頭12ケタだけ。下4ケタは登録せず，買い物をするたびにユーザーが入力し直す仕組みだった。今のところ，顧客からカードを不正利用されたという連絡はないという。そのほか顧客マスターには，同社サイトにログインするためのIDとパスワード，氏名，メール・アドレス，住所，電話番号などが登録されていた。2000年5月にサイト運営を開始してから，商品を購入したり，会員登録したりした全顧客のデータが対象である。
　「カード情報漏えいの可能性がある」と，あるクレジットカード会社から指摘を受けたのが7月9日。カード会社はカードの実際の不正利用やその試みを監視するシステムを運営しており，ナチュラムで利用された複数のカード番号がその対象になったとみられる。
　ナチュラムがその翌日，セキュリティ専門ベンダーのラックに調査を依頼したところ，まず不正プログラムの有無をチェックするように指示された。ラックがナチュラム本社（大阪市中央区）に向かう間に，同社のシステム担当者が身に覚えのないASP（Active Server Pages）プログラム（バックドア）を発見。同日深夜には，クレジットカード情報を顧客マスターから削除し，カード決済を自主的に一時停止した。
　ラックは不正アクセスの実態を明らかにするため，直ちに調査に乗り出した。約1週間をかけてバックドア・プログラムが利用された痕跡（ログ）を見つけ，7月18日にナチュラムに報告。ナチュラムはそのログを基に，閲覧された顧客情報を特定する作業を開始した。7月30日に顧客マスター全件がアクセスされた可能性があることを突き止めた。
　情報漏えいの調査と並行して，ナチュラムはシステムのセキュリティ強化に乗り出した。バックドア・プログラムは直ちに削除し，システム管理用のパスワードなどを変更。約3000本あったASPプログラムについて，SQLインジェクションの有無を脆弱性スキャンによってチェックし，問題のあるプログラムを修正していった。7月15日にはIPS（侵入防止システム）を導入し，24時間体制の不正アクセス監視を開始。こうしたセキュリティ対策がカード会社に認められ，7月22日にはカード決済を再開できた。「現在は安心して買い物をしてもらえる環境を整えた」（ナチュラムの中島社長）という。
　ナチュラムのWebシステムにはほかに，カード与信など向けにカード番号全ケタと有効期限を記録する別のデータベースがあった。カード情報は累積で24万2741件登録されていた。このデータベースに不正アクセスされた痕跡は発見されなかったが，ナチュラムは念のため，そのカード番号をカード会社に報告した。現在はセキュリティ強化策の一環として，与信作業などのあとカード番号を直ちに削除するようにシステムを変更している。
　ナチュラムは今回の公式発表と同時に，漏えい対象の顧客に対してメールによる告知を開始した。120人体制のコールセンターを準備し，顧客からの問い合わせに対応するという。 （2008年8月6日）日経BP

これだけの情報を流出させて、
はい、ゴメン。
ん～
ジョイマン風に
(・o・)ノ ハ～イ!!　<(￣∇￣)ゞゴメリンコ～♪ って誤ればOKって・・・ 悪意がある人が、パソコンウィルスに感染しちゃったから、流出しちゃった。 えへっ＾＾；；； って言えば許してもらえるわけでしょう。 ネットの掲示板云々よりも、こういった情報漏洩に関してはきちっと法整備すべきではないですかね？ って、おいらの情報も流れたようです。

2008年8月6日

各位

ミネルヴァ・ホールディングス株式会社
（旧株式会社ナチュラム）
代表取締役会長兼社長　中島成浩

「アウトドア＆フィッシング　ナチュラム」への不正アクセス発生についてのご報告とお詫び

このたび、弊社子会社であります、ナチュラム・イーコマース株式会社が
運営するウェブサイト「アウトドア＆フィッシング　ナチュラム
(http://www.naturum.co.jp/)」(以下「本サイト」と申します。) の
ウェブサーバー等に外部からの不正アクセスがあり、その内容を
調査いたしましたところ、本サイトをご利用いただいておりますお客様の
個人情報が、海外からの不正アクセスにより流出した可能性があることを
確認いたしました。

お客様及び関係者の皆様に多大なるご迷惑、ご心配をおかけ致しましたこと
深くお詫び申し上げます。
弊社では、今回の事態を厳粛に受け止め、お客様及び関係者の皆様の
信頼回復に社員一同、全力で取り組む所存です。

現在、本サイトはセキュリティ専門会社の指導のもと、24時間体制の
不正アクセス監視、全システムにおいて脆弱性の全面チェック及び
不正アクセス対策の強化を既に完了しており、安心してご利用いただける
環境にあります。
今後とも「アウトドア＆フィッシング　ナチュラム」をよろしくお願い
申し上げます。

本件に関する経緯、不正アクセスの内容等につきまして下記の通りご説明させていただきます。

記

１．経緯
2008年7月9日
・クレジットカード会社より、カード情報流出の可能性があるため、 弊社へ調査の依頼があった。

2008年7月10日
・第三者機関であるセキュリティ専門会社による調査を開始。
・外部より不正アクセスの痕跡を発見するが、現時点で情報流出の有無は不明。
・不正アクセスの可能性のある外部からのルートをすべて遮断。
・念のため、システム内のクレジットカード情報をすべて削除し、 クレジット決済を一時休止。
・全システムのセキュリティチェックおよび不正アクセス防止強化策を実施。

2008年7月18日
・不正アクセスの内容として個人情報が閲覧された痕跡を確認。
・流出の可能性があるお客様の特定作業を開始。

2008年7月22日
・セキュリティ専門会社による診断により、システムの安全性が確認されたため、クレジットカード決済を再開。

2008年8月6日
・ミネルヴァ・ホールディングス株式会社（旧株式会社ナチュラム）および「アウトドア＆フィッシング ナチュラム」等のホームページ上で発表。
・流出の可能性がありEメールアドレスを保持していたお客様にお知らせを配信。

２．不正アクセスの内容 及び今後の対応
（１）侵入経路など
セキュリティ専門会社による詳細なログ分析の結果、
犯人は、本サイトのメンテナンス用サーバーに不正に侵入し、
このサーバーを経由してウェブサーバーに不正アクセス用プログラムを
設置したものと思われます。
現在は、不正アクセス用プログラムはすべて排除され、
侵入経路となりうる部分はすべて外部から遮断されております。
さらにIPS(不正侵入防止システム)による24時間監視体制を行っており、
セキュリティ専門会社により安全性が確認されております。
なお、弊社では不正アクセスに該当するものとして関係官公署に相談を開始。
警察の指導のもと捜査用データ及び証拠書類を提出、
捜査に全面的に協力しております。

（２）閲覧された痕跡のあるデータについて
犯人が設置したと思われる不正アクセス用プログラムは
「アウトドア＆フィッシング　ナチュラム(http://www.naturum.co.jp/)」に
おいて、2000年5月～2008年7月10日の間にお買い物、もしくは会員登録など、
本サイトのサービスをご利用になられたお客様の個人情報が格納されている
「顧客マスター」を閲覧できる機能を有しておりました(※)。
この事実から、弊社では「顧客マスター」のデータが流出した可能性が高い
と考えております。

※「顧客マスター」に格納された個人情報は
以下の3つのサイトの利用者が対象となります。

「アウトドア＆フィッシング　ナチュラム(http://www.naturum.co.jp/)」
「ナチュラムモバイルショップ(http://m.naturum.co.jp/)」
「blog@naturum(http://blog.naturum.ne.jp)」

「顧客マスター」の個人情報項目は下記の通りとなっております。

—必須項目—
1.ログイン用ユーザーID
2.ログイン用パスワード
3.氏名
4.Eメールアドレス

—任意項目—
5.住所
6.携帯電話番号
7.電話番号
8.FAX番号
9.生年月日
10.クレジットカード名義
11.クレジットカード有効期限
12.クレジットカード番号（下4桁は保持しておりません）
13.家族構成管理コード(当社固有の管理番号にて保持)
14.性別管理コード(当社固有の管理番号にて保持)

（３）流出の可能性のあるデータについて

653,424件（全対象データ）

上記のうち
クレジットカード番号（下4桁は保持しておりません）が含まれるもの86,169件
※お客様のクレジットカード登録状況については、弊社コールセンターにお尋ね下さい。

セキュリティ専門会社の詳細なログ分析においても、
実際の流出内容および件数は不明となっております。
上記、流出の可能性のあるデータ件数は、不正アクセスを受けた当時の
データベース状況から考えられる最大値となっております。

（４）クレジットカード会社との協調について
弊社では下4桁を除くクレジットカード番号の流出の可能性を確認しておりますが、
その他不正アクセスの痕跡がない部分でも流出の可能性を鑑み、
顧客マスター以外で保有しておりました全クレジットカード番号242,741件を
クレジットカード会社と共有し、万全を期して対応にあたっております。
（５）今後のセキュリティ対策について
今後、セキュリティを一層強化するため、
現在認証を受けておりますTRUSTe(※1)に加えまして、
PCIDSS(※2)の準拠に向けて取り組んで参ります。

詳細なスケジュールにつきましては、後日公表させていただきます。

(※1)TRUSTe…TRUSTe（トラストイー）シールプログラムは、
第三者審査機関が審査・認証を行うことにより、
個人情報を扱うウェブサイトが利用者に対する信用度・信頼度を
向上するために1997年アメリカにて誕生した、
「個人情報保護第三者認証シールプログラム」です。

(※2)PCIDSS…PCIデータセキュリティスタンダード
（PCIDSS：Payment Card Industry Data Security Standard）は、
クレジットカード情報および取り引き情報を保護するために、
JCB・American Express・Discover・マスターカード・VISAの
国際ペイメントブランド5社が共同で策定した、
クレジット業界におけるグローバルセキュリティ基準です。

（６）本件に関する専用お問い合わせ窓口

専用フリーダイヤル：0120-560-682
受付時間：8月6～8日 9時～21時
8月9日以降 9時～18時
本件に関する特設サイト（お問い合わせ窓口）：
http://www.minerva-hd.com/faq_c_080806/index.html

これで、小生のカード情報が流れたのは2回目。

謝ればすむんだもん。
楽勝だよねｗ