≪ 目を引くキーボード | メイン | Qapla' Google ! ≫

2005年5月27日

異論反論インジェクション

カカクコムの不正アクセス事件，その事件中の対応や侵入手口の未公表に違和感を感じておりましたが，日経に詳しい解説記事があがっていました。私も，不正アクセスがあった時点で犯人捜しより顧客保護を優先すべき，サイトを閉鎖すべきだったと思います。もっとも，カカクコムにとっての顧客は誰なのか，当事者も分かっていなかったのかもしれませんが…(小売りか消費者か)。しかし，情報を小出しにするところは何とも解せません。

ところで，この解説記事の中で注目すべきは，以下のところ。

だが，これで済んでしまうとなると，セキュリティ対策を全く施していないサイト運営者の言い逃れに，今回の同社の対応が使われる可能性がある。

さて，早速その案件が浮上しました。OZmall事件(？)です。(オズウェルみたい…)

不正アクセスの手口については「ほぼ特定できているが，類似の不正アクセスを誘発しかねないため，侵入手口は公表しない」（スターツ出版）という。またセキュリティ対策については「過失はなかったと考えている」（同）としている。

カカクコムと全く同じ対応です。悪しき前例を作りましたね。もちろんどちらも本当にセキュリティ対策をちゃんとしていたのかもしれませんが，カカクコム同様侵入手口は公開すべきです。模倣犯を避けるというと聞こえはいいですが，それは現実世界のアナログな犯罪に適用可能な話。連続犯かどうかを特定する重要な手段です。でも，ネット上では手口を容易にまねできます。犯人しか知り得ない事実も，公表されてしまえばおしまいです。その間に本来なら対策ができていたサイトも，攻撃対象となってしまうおそれがあります。

そういえば，事件直後アサヒコムでSQLインジェクションでやられたとかありましたが，もしそうだとすると過失がないと言い切れないはず。下手に隠すと勘ぐられるし，下手にさらすとバッシングを受ける。参考になるのは案外ジャパネットたかたの対応かもしれません。(事件後のインタビュー)

投稿者 たけ＠ねくさす : 2005年5月27日 17:33

トラックバック

このエントリーのトラックバックURL:

* 本エントリと関連しない記事へのトラックバックはご遠慮下さい。
* Trackbacks not to relate to this entry are NOT permitted.

* 本エントリに関連しないコメントは内容の如何に関わらず掲載いたしません。
* Comments not to relate to this entry are NOT permitted even if those are not a spam.