価格.comデータベースへの攻撃?
価格.com、サービスを再開しましたね。
・・asahi.comの記事だと、データベースへの想定外のデータを送り込まれたということだけど。
SQLインジェクションなんて随分初歩的なセキュリティの穴を突かれたと言うことになりますね。
なにか、根本的にまずいんでは・・
■05/05/27(金)追記
今回のWeb改ざん事件の最後?らしい記者発表ですが、、、ここまで見事な反面教師としての実例を見たことがないです。
少なくても、今回の攻撃に関する概要は発表すべきだし、最低限のセキュリティ情報の共用は義務に近い物があると考えています。この点では価格.comのこの対応は不適切ですね。
25日に行われた記者発表までは比較的、価格.com側に同情的な考えを持っていたのですが、このような立場なら今後も攻撃を受けてしまうでしょうね。。で、同じ内容の発表を繰り返すのかな。。
多くの人が危惧している価格.comの今回の言い訳を利用した責任逃れの乱用が発生しないのか非常に心配です。
とりあえず、価格.comから端を発した問題に関して、関連して攻撃を受けたり修正対応をしたサイトがどう出るのか興味が有りますが、もう既知ログに記録する必要はないかな?
●関連記事
○データベースを攻撃、外部から支配 カカクコムHP事件(2005年05月24日10時34分)(asahi.comサイエンス)
○「価格.com」事件をまとめる(IT Pro IT Pro Security)
~『サイト閉鎖』から『緊急会見』まで~
○価格.com閉鎖の原因と対策は非公開--メールアドレス詐取の補償なし(2005/05/25 22:08)(CNET Japan)
○「過失はない」としながらも不正アクセスの詳細の言及は避ける~カカクコム(2005/05/25 22:02)(Impress INTERNET Watch)
●関連URL
○価格.com
●関連記事 05/05/27(金)追記
○「過失はない」「地震のようなもの」――カカクコム、侵入手口明らかにせず(2005/05/25 20:37)(ITmedia ニュース)
○「過失はない」としながらも不正アクセスの詳細の言及は避ける~カカクコム(2005/05/25 22:02)(Internet Watch)
○価格.com閉鎖の原因と対策は非公開--メールアドレス詐取の補償なし(2005/05/25 22:08)(CNET Japan)
○「価格.com」事件,「当社に過失はなかった」とカカクコム社長(5/25)(nikkeibp IT Pro)
○【価格.com問題】攻撃の手口の解明が進むが原因は非公表,「手口は今後も公開しない」(5/25)(nikkeibp IT Pro)
○不正アクセス事件のカカクコムが会見,「Windowsサーバーの継続利用は今後の議題」(5/25)(nikkeibp IT Pro)
○価格.com「過失責任はない」と主張、サイト改ざんの原因は公表せず(5/25)(nikkeibp IT Pro)
○カカクコムは情報をきちんと公開すべきだ(5/25)(nikkeibp IT Pro)
○価格.com不正アクセス事件、IPAは「第一報のみで詳細は把握していない」(2005/05/26 18:45)(Impress INTERNET Watch)
| 固定リンク
コメント