http://www.horikawa.ne.jp/msde/support/injection/injection-index.html SQL インジェクション攻撃を受けました。世間に公表すべきですか?
SQL インジェクション攻撃は、とっても恥ずかしい攻撃です。この攻撃が成立したということは、仕事を請け負った開発業者も、仕事を出した発注者側も、データベースについて何もわかっていなかったという事実を公表することになります。できれば、SQL インジェクションという単語は出さずに、「システムの設計ミス」だと言う方が良いでしょう。
[ SQL インジェクション:0020]で説明したように、SQL インジェクション攻撃は、データベースを使用した環境ならば、必ず対策を取らなければいけない基本的なものです。その基本が守られていなかったという事実が世間に公表されることによって、他のセキュリティホールを利用した攻撃を受けた場合に比べて、弁解のしようがありません。
もし記者会見で、被害を受けた会社の社長が、「当社は万全のセキュリティ対策やコストを投じて、顧客情報を守っております。なぜ、顧客情報が漏えいしたのか、原因は不明であり、ただ今、調査中です」と発言し、後日その原因が、「SQL インジェクションでした」と言ってしまったら、笑い者になってしまいます。
SQL インジェクション対策は、データベースアプリケーションを開発するときに実施すべきで、そのような基本的な対策をしていなかったデータベースアプリケーションを運用していたこと自体が異常なことなのです。
ありえないお勧めである。
セキュリティ脆弱性を放置した、改修したしかしどんな問題があったか、どんな被害があったかなどは公表すべきではないというのは非常に問題がある。
実態を隠し立てせず発表すべきである。