先日、話題になったOZmallサイトへの不正アクセス事件について当事者が説明会を実施し、ことの経過から原因について報告があった。不正アクセス事件があった場合には、何が原因であったかを明らかにし、他のWebサイトの管理者/運営組織が同じようなミスを犯していないか、ちゃんと対策はできているかということについて確認できるようにすることが重要だ。
しかし、まだ価格.comは明らかにはしていないようだが...。
ところで、今回の不正アクセスは"SQLインジェクション"を使ったものだったという。
XSS攻撃と同じように、Webの入力データのチェック・加工を怠っているWebアプリケーションがセキュリティ・ホールとなる。
その後の調査で,侵入された手口が「SQLインジェクション」だったことも特定できた。同じ攻撃を受けないように,利用しているWebアプリケーション・プログラムを全面的に書き換えた。プログラムのファイル数はおよそ1万数千にのぼるので,修正には時間がかかったという。
本当に「1万数千」ものプログラムをこのような短時間で書き換えることができたのだろうか。単にWebのFORMから受信したデータをシングル・クォーテーションで囲むとかという機械的な対応だけだったりして。
プログラマ的に見ると、「1万数千」ものプログラムの修正→レビュー→テストを行うとなると数ヶ月はかかりそうである。ちゃんとテストしてあるのかが心配になる報告だった。
