ワコールも予想通りSQLインジェクションだったらしい。しかも、修正漏れによるものだったとは・・・
http://www.wacoal.co.jp/owabi0511/qa/03-08.html　(tessyさんThx)
こういうのを見るとWAFも有効なのかなぁと思うんだけど。
しかし、データの重要性の分析とか設計時にやらないものかねぇ。今回の例はクレジットカード番号だけでも公開鍵暗号で暗号化していれば最悪の事態は防げたと思うんだけど。クレジットカード番号なんて、ユーザーが使うECサイトで番号が全て見える必要なんかないのに、ちょっとした手間をサボって大きな被害を出してるよねぇ。もっと、セキュアな設計が広まればいいのに。