価格.comよ、それでいいのか？

カカクコムの穐田社長が「当社に過失はない」と語ったようで。しかし、それでいいんだろうか。

「価格.com」事件，「当社に過失はなかった」とカカクコム社長 : IT Pro ニュース
　今回の事件では，サイトへ登録しているユーザーのメールアドレス2万2511件が搾取されたが，「サーバーのOSにはパッチもあてていたし，アプリケーションの構造にも問題はないため，当社に過失はない。スパム対策のサポートサイトを立ち上げるなど，被害のサポートはするが，自社の内部理由による被害ではないので，個別の補償はしない」（穐田氏）とした。

asahi.comの報道によると、今回の件はSQLインジェクションという手法を使っているらしい。

asahi.com： データベースを攻撃、外部から支配　カカクコムＨＰ事件 - デジタル
　関係者によると、データベースは「ある範囲の情報を探す」「条件に合ったデータを取り出す」といったコンピューター言語「ＳＱＬ」で操作する。今回の攻撃は「ＳＱＬインジェクション」と呼ばれる手法を応用。攻撃者が利用者のふりをしてデータを入力し、戻ってきたエラーメッセージなどを解析しながらシステムを把握して、データベースを支配下に置いていったとみられる。

SQLインジェクションというと、なにやら難しい話に聞こえるけど、何のことは無い。SQLによる致命的な処理が外部から行えてしまったというだけの話。身近な話で例を挙げると、掲示板などでは、HTMLタグが入力されても無効になるように設定されていることが多い。変にタグを使われてスクリプトなどを埋め込まれると困るからなどの理由からだけど、掲示板の運営をするからには当然の配慮だ。感覚的にはこれと同じだ。つまり、無効にすべきものが無効になっていないということであり、常識では考えられない状態にあったということだ。

SQLインジェクションについて詳しくは、「顧客データがすべて盗まれる？！～OSやデータベースへの攻撃～」あたりを見てほしい。また、今回の件の分析では「カカクコム改ざん事件は、ＳＱＬインジェクションによる攻撃だった」も参考になる

asahi.comの報道が本当ならば、カカクコムの運営には手落ちがあったといわざるを得ない。そうではなく、本当に今まで知られていなったとんでもない方法で進入されたのであっても、「同じ手口で他サイトが攻撃される可能性がある」などと詭弁を使わず、きちんと公表してその手口に対する対処法を社会で共有すべきじゃないだろうか。