濃縮還元オレンジニュース

サウンドハウス,不正アクセスの経緯と原因についての詳細な報告書を公開

この記事を読むのに必要な時間:およそ 0.5 分

楽器や音響機器のショッピングサイト「サウンドハウス」が,SQLインジェクションによる攻撃を受け10万人近くのユーザ情報が流出したことを受け,その経緯や原因について記載した報告書を公開しました。

報告書は22ページにも渡り,とても詳細に記されています。経緯については分単位で記され,中国のブログに攻撃手法が掲載されていたなどという赤裸々な事実が綴られています注1)。

事件の根本となる原因は,バックドアが埋め込まれた2006年にまでさかのぼるようです。報告書を見る限りでは,システム構築や運用などでセキュリティ検証をちゃんと行っておりHACKER SAFEという脆弱性診断サービスにも登録していたようです。このことから「いかにセキュリティ対策を行っていても攻撃を受ける可能性はある」ということがわかります。

最近,世界的にSQLインジェクションによる攻撃が増えているようです。Shadowserver Foundationでは攻撃に使われる悪質なドメインリストを公開しています。またIPAでは注意を呼びかけ簡易の脆弱性検出ツールiLogScannerを公開しています。悪質な攻撃に備えるには少しでも多くの情報が必要です。

普通の企業であれば,攻撃にあった場合その詳細を隠しがちになってしまいます。そういった意味で,この報告書を公開したサウンドハウスは評価に値します。

注1)
この中国のブログを翻訳している人がいます。

URLhttp://www.soundhouse.co.jp/news/20080418.pdf

著者プロフィール

角田直行(かくだなおゆき)

普段はお仕事でPHPやJavaを使ってWeb開発をしています。一部でセレブエンジニアとか言われてますが,全然セレブじゃありません。

コメント

コメントの記入