パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

スカイソフト、外部からの攻撃により5,000件のカード情報漏洩」記事へのコメント

  • by Anonymous Coward on 2006年01月24日 13時36分 (#870323)
    もうみんな分かってて入られるまで放置してるんじゃないかと思えてきた。
    • by sarinaga (8464) on 2006年01月24日 20時43分 (#870559)
      インジェクション攻撃というものがどういったもので、どうすれば防げるかを知っている人間が根本的に不足しているのがこの手の攻撃がやまない原因でしょうか。少なくとも私がこの業界で仕事していて、そういう印象を持ちました。

      Webプログラム、誰にでも簡単に書けるように見えます。でも、実際は違いますね。特に外部公開されるシステムはすべての開発要員がセキュリティの知識を持っていなければならないと個人的には思う。

      それなのに上の連中は新人さんを次から次へと投入してくるんだから.....。はぁ。

      セキュリティを知らない人間は外部公開されるWebプログラムは作らないでほしいです。周りに公害を広めるだけなので。

      でも、私自身SQLインジェクション攻撃ができるところを見つけてもそれを修正しなかったという前科があるのだった(非道)。まあ、社内システムでしたからね(極悪)。
      親コメント
      • by kei100 (5854) on 2006年01月25日 6時44分 (#870734)
        「とりあえず」でも動作するというのが一番大きな問題なのかも。
        とりあえず動いてそこで満足しちゃうとか、それ以上時間をかける事の出来る人員がそもそも用意されてないとか。
        「完璧」じゃないと危険があるけど、それが出来るのは特定のスキルを持ってる人が作るとか、メンテしないとできない。
        しかも、世の中ドンドン新しい攻撃が出てくる。

        あと、もう一つは「入門書」や「参考書」を書くスキルと、「安全なコード」を書くスキルはまったく別物ってのも有るかもしれない・・・
        # ちょっとそのままコピペすると危険な作りの入門書とか多い気がする。
        親コメント
    • by Napper (6812) on 2006年01月24日 15時54分 (#870399)
      攻撃に気づいたのが2006年1月12日、SQLインジェクションの危険性は十分に知られていたはずなのに、対策を取っていなかったのか、それとも取ったつもりだったが穴が空いていたのか。
      少なくとも1/24 15:30の時点ではスカイソフト [skysoft.co.jp]のサイトに情報漏洩に関する記述はありませんが、情報が流出した恐れがある顧客への連絡は行っているんでしょうか。
      特にクレジットカードの情報が漏れた可能性があるのならばすぐに顧客にそれを連絡するべきでしょう。
      スカイソフトがそうかどうかはわかりませんが、クレジットカードの被害は保険でカバーできるし、個人情報漏洩のお詫びも1件500円でOK、のように問題を軽視している事業者が多いように思えてなりません。
      親コメント
      • by Anonymous Coward on 2006年01月24日 16時05分 (#870405)
        >個人情報漏洩のお詫びも1件500円でOK、のように問題を軽視

        個人情報保護法が既に施行されていますから
        それだけじゃ済まないことはみんな知ってますよ

        情報が漏洩してしまうことの前に
        万が一の漏洩の事態でも被害を最小限に留める為にも
        不要な個人情報を蓄積しておくことを弊社では禁止しています
        他所でも同様に厳しくやってるんじゃないでしょうか?
        親コメント
    • by Anonymous Coward on 2006年01月24日 15時09分 (#870369)
      俗に言うセキュリティノーガード戦法は未だ健在のようですね。「私たちは被害者だ。何も落ち度はないのです(涙)…」
      親コメント
    • 「君はいままでに一体何本のSQLを書いたか覚えているかね?」

      #cshでCGIスクリプト書いてた時代もあったねと。
      • by Anonymous Coward on 2006年01月24日 21時00分 (#870568)
        「御社では今、幾つのWeb上のシステムで顧客データを扱っているか把握してますか?」
        と経営者に聞いてみたいね。

        プログラマがSQL文の数なんざ覚えている必要はないけど、
        顧客データの載ってるDBの数や、対策の有無は、
        少なくとも責任者は知っておく必要がある。
        親コメント

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

処理中...