データベースを攻撃、外部から支配 カカクコムHP事件 (asahi.com)

原因はSQLインジェクションだったらしい、という記事。と言うことは価格.comのシステムを作った人のミスか無知か手抜き開発ということになるわけだけど、今のところそれについては触れられていない。(今回の事例がどうかは知らないけど、感覚的に、この手の問題は無知か手抜きが多いと思う)

SQLインジェクションからサイトの書き換えまで発展するということは、DBから取り出したデータのサニタイズもできてなかったのかなあ。いずれにしても、SQLインジェクションに加えて、何か別の要素もありそう。

それにしても

これまでのサイト攻撃は、OSの不備やホームページをネットに提供するプログラムのミスなどを突くケースが多かった。今回は、プログラムに欠陥がなくても、コンピューターが正規の命令か悪意のある命令かは判断できない点を突き、命令をそのまま実行させて支配下に置いていた。

難解な文章だなあ。翻訳すると、「プログラム」=「ミドルウェア」。「ホームページをネットに提供するプログラム」=「Webサーバ」。「コンピューター」=「DBMS」。ということかな?

今回の事例はWebアプリケーションの脆弱性がここまで深刻な被害をもたらすということで、セキュアプログラミングをきちんと考えない手抜き開発に対する警鐘となるだろうか。