価格.comの攻撃手法はSQLインジェクション

「asahi.com」の記事によれば、「価格.comクラック事件」の攻撃手法は「SQLインジェクション」によるものだと言うことです。
asahi.com: データベースを攻撃、外部から支配 カカクコムHP事件-社会
「SQLインジェクション」とはデータベースを操作するプログラムのバグを突いて、データベースに任意の命令をくだす手法です。
(※エンジニアでない小生の技術、知識レベルでは上記と理解しています)
古いドキュメントですが情報処理推進機構の下記ページが詳しいです。
IPA ISEC セキュア・プログラミング講座 – 2-1. SQL組み立て時の引数チェック
つまり今回の事件は、ハードウェア(サーバ)の設定ミスやOSのセキュリティホールを突いたものではなく、その上層のWEBアプリケーション部分(この場合は価格.comのサイト自体)のプログラムのバグに原因があるということです。
いくらハードに金をかけて最新機器を入れても(経営はここを重視しますが)、その上で動いているプログラムのバグには何の対策にもなりません。
価格.comの言う「最高のセキュリティ対策」がどこまで指しているのかわかりませんが、もう少しソフト(そして制作する人間)に金をかけることを重視して頂きたいものです。
(このことはIT系の制作、開発業務全般に言えそうですが)
■25日補足
24日の午後には再開するとしていたWEBサイトですが、24日の23:30から再開されたようです。
納期は守った。
参照
津田ふみかの日記-価格.com の改竄は SQLインジェクション
(まさに価格.com社長が言う「セミュリティ対策」と技術者が考える「セキュリティ」の違いです)
「ソフト、ハード、運用の全てを刷新」価格.com、23日をめどに復旧
(記事中の「自社のセキュリティ対策にはトレンドマイクロの製品を導入」は今回のケースでは無意味)
価格.com、24日に一部サービスを再開~メールアドレスの流出は22,511件
(単純にハードを刷新しても根本的なシステムにバグが残っていたら・・・)
IPA ISEC セキュア・プログラミング講座
独立行政法人 情報処理推進機構:セキュリティセンター:のコンテンツ。基礎を知らない素人には大変役に立つものでした)
FOX通信: 価格.com本日より一部再開(24日再開までの経緯)

コメント

  1. 価格.comサービス再開

     不正アクセスが原因で一時閉鎖していた価格.comがさきほど再開されました。  PC初心者が多く訪れるサイトですので、今後はより安全なシステム運営を期待したいものです。

  2. FOX通信 より:

    価格.com本日より一部再開

    5/16のエントリで書いた、価格.com不正アクセスによる一時閉鎖ですが、 今日の午後より一部再開らしいです。 といっても13:30現在まだ再開されておらず、 トップページはまだお知らせのままです。 …

  3. Irana より:

    TBありがとうございました。
    お返しTB入れさせていただきました。
    IT系の企業は30時間制…わかる気がします(笑)

タイトルとURLをコピーしました