関係者によると、データベースは「ある範囲の情報を探す」「条件に合ったデータを取り出す」といったコンピューター言語「ＳＱＬ」で操作する。今回の攻撃は「ＳＱＬインジェクション」と呼ばれる手法を応用。攻撃者が利用者のふりをしてデータを入力し、戻ってきたエラーメッセージなどを解析しながらシステムを把握して、データベースを支配下に置いていったとみられる。

このアサヒコムの記事が真実であればの話ですが、入力フォームから投げられたSQLコマンドをサニタイジングしてないようなWebアプリケーションは、最高レベルのセキュリティどころか最悪です。「当社に過失はなかった」と言い切ってしまう社長もかなり肝っ玉の座った方です。

どこぞの会社に発注して丸投げで作らせてたのかもしれんけど。納品前に一体どんなテストやったのかと・・・。

本当はきちんとリプレースしなきゃ不味いようなサイトは価格.com以外にも沢山あるはずですが、大昔に作られたPerlのプログラムソースが読みにくい上に作った本人は退社とかで、誰もやりたがらないといったケースが蔓延しています。恐ろしい世界。いい加減発注先相手に値切ったりとかの交渉もやめたほうがいいと思います。そりゃ赤字になる案件ばかりじゃ、まともに作ってる暇は無いって会社も出て来ますって。

[ツッコミを入れる]