2008年7月24日(木曜日)

IPAからの指摘を教訓にできなかったアイリスプラザ

うわぁ。これは大ショックです。

アイリスプラザに不正アクセス、カード情報2万8105件流出か (internet.watch.impress.co.jp)
カード番号2万8000件流出の恐れ　アイリスプラザのECサイト、SQLインジェクションで (www.itmedia.co.jp)
アイリスプラザ、古いプログラムを突かれカード情報2万8000件を漏洩 (itpro.nikkeibp.co.jp)

そしてお詫びとご説明 (www.irisplaza.co.jp)、FAQ (www.irisplaza.co.jp)。

Q.不正アクセスに対する対策はしていたのか？
A.ファイヤーウォールやＳＱＬインジェクション対策はしておりましたが、既に使われていない古いプログラムは対策されておらず、結果的にそのプログラムから攻撃を受けています。

「ＳＱＬインジェクション対策はしておりましたが」って言い切られてしまいましたが、2年前にIPAから指摘を受けて初めて対策したのですよね? 2006年8月24日の時点では、アイリスプラザのトップページにある検索フォームで単引用符を検索したとき、以下のようなメッセージが表示されていました。

Microsoft OLE DB Provider for ODBC Drivers エラー '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]データ型の演算子が無効です。データ型演算子は modulo、データ型は varchar です。
/Meisai.asp, 行 45

そして、商品ページのURLのID部分に%27を付けるとこんなメッセージが。

Microsoft OLE DB Provider for ODBC Drivers エラー '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]文字列 '' の前で引用符が閉じていません。
/OyaSet.asp, 行 12

実際に任意のSQL文が実行できるかどうかまでは確認しませんでしたが、状況証拠としては十分でしょう。

IPAからの指摘を受けた後の動きは非常に素早く、即日修正されたようです。その素早さ自体は評価したいところですが……。

私が見たのはトップページと商品ページという、これ以上目立ちようがないようなページだけです。それらがことごとく脆弱だったわけですから、指摘されたポイントを修正して終わりにするのではなく、「他のページも危ないのではないか」と思ってほしいところです。そこで棚卸しと総点検を行っていれば、「既に使われていない古いプログラム」が放置されることもなかったのではないかと思います。

IPAから指摘を受けたという事実は、経営に伝わったりしているのですかね? 現場レベルで修正して終わりにしてしまったりすると、棚卸しの機会なんて得られないわけでして。こういう事件が起きないことを願って届け出ているのですから、指摘された側でもちゃんといろいろ考えてほしいところではあります。

「IPAからの指摘を教訓にできなかったアイリスプラザ」へのコメント (1件)

マール王国の人形姫天使が奏でる愛のうた

Wiiの「みんなのニンテンドーチャンネル」が更新されて機能強化されたということでいろいろ見ていたのですが、こんなのを発見。

マール王国の人形姫天使が奏でる愛のうた (www.amazon.co.jp)

DSで出るのですね……。PS版は、魔法一発で終わる単調な戦闘、同じ景色がひたすら続くダンジョン、役に立たないモンスター仲間システム……など、システム面にいろいろ課題はあったものの、ストーリーは悪くない感じでした。リメイクでシステム面が改善されていれば、だいぶ良いゲームになりそうな気がします。

「マール王国の人形姫天使が奏でる愛のうた」にコメントを書く

関連する話題: ゲーム / ニンテンドーDS

前(古い): 2008年7月23日(Wednesday)のえび日記
次(新しい): 2008年7月25日(Friday)のえび日記

水無月ばけらのえび日記