最近巷を賑わせている価格ドットコム事件
この事件とてもとても突っ込みどころ満載です。
現在の論点を整理してみましょう。
- 最高レベルのセキュリティは本当か?
- 侵入されていたのを見過ごして復旧作業をしていたのは問題ないのか?
- 価格サイドは単純な被害者なのか?
- SQLインジェクションは事実か?
- NDAを結ばないとどう攻撃されたかを公開しないのは是か?
あなたのWebシステムは大丈夫ですか?
最高レベルのセキュリティとはなんなのか?FW入れているから大丈夫なんてそんな甘い考えでは一撃ですよ?大丈夫ですか?
もしも侵入されていることが発覚した場合の対策としてはまずLANケーブルを抜くというのと、犯人につながる証拠を保全するという2つの考えがあるのは間違いないのですが、今回のように明らかに怪しいファイルが仕込まれていて、それが一般ユーザからダウンロードできる状態になっているまま、サービスを維持し続けるという姿勢はどう思いますか?
こういうのは平時に決めておかないと必ず事が起こってからは後手後手に回ってしまいますよ。大丈夫ですか?
あなたたちは単純な被害者になると思いますか?図書券を配ればいいという風潮も許せないものがありますが、自分(自社)がその立場になったとき、どう説明しますか?大丈夫ですか?
SQLインジェクションくらいは知っていますよね?当然対策が複数あることは知っていますよね?テストしていますよね?大丈夫ですか?
事が起きたときに情報公開はどのようにするか決まっていますか?価格の自作ソフトウェアが原因であればディスクローズするべきです。SQLインジェクションでしたと。phpBBが原因で対策がまだなのであれば、公開しないべきです。きちんと一定のポリシーを決めておかないと混乱しますよ。大丈夫ですか?
今回の問題自体は大して面白くないただのSQLインジェクションぽいのですが、我々が他山の石とすべきポイントは凝縮されているといえるでしょう。
さてあなたは何を読み取りますか?