水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2008年のえび日記 > 2008年4月 > 2008年4月19日(土曜日)

2008年4月19日(土曜日)

サウンドハウスカード情報流出

不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ (www.soundhouse.co.jp)」。 PDF に書かれている詳細説明が非常に興味深いですね。なんと、2006年に謎の asp1.asp というファイルが設置されていて、ちくちく利用されていたらしいという。知らないファイルが置かれていても、2年間誰も気づかなかった訳ですね。

※まあしかし、あんまり詳しくは書けませんが、某大企業グループサイトの cgi-bin の下なんか、テスト用の脆弱な CGI プログラムが放置されていても誰も気づかなかったりしていますしね……。

あと、興味深いと思ったのはこのくだり。

ところが、セキュリティの不備は中々解消されず、セキュリティの基準となるガイドラインさえ、殆ど見かけません。対策が進歩しない理由は明らかです。まず、エンジニアが不足していることです。本来ならば、プロのハッカーを雇用して、彼らの目から見た、美味しいと思えるホールを見つけて対処するようなハッキング対策がなされなければなりません。それ故、優秀なハッカーを見つけたら、むしろ国家の機密情報機関で雇用し、高額な報酬を払ってでも、セキュリティ対策を講じるべきなのです。

「プロのハッカー」ですか。

SQL インジェクションは、突かれたときの被害は致命的なのですが、攻撃するのに高度な知識が必要なものではありません。というか、SQL インジェクションの探査・攻撃を行うツールが既に普及している訳で、ツールさえ使えば誰にでもできる攻撃です。防ぐ方法もハッキリしており、「プロのハッカー」なんてのが出て来る必要はないと思うわけです。

カカクコムの時にも思いましたが、どうも、技術に詳しくない人は「不正アクセスには高度な技術が必要」「高度な技術を駆使した不正アクセスを防ぐのは非常に困難で、プロの力が必要」と思いがちであるように思います。

※しかしまあ、全体的に言って「IPAはもっと PR を頑張る必要がある」という内容であるようにも思えるわけですが、そこはまあ頑張ってくださいとしか言いようがないですね。

関連する話題: セキュリティ / IPA / サウンドハウス

最近の日記

関わった本など