• http://www.asahi.com/science/news/TKY200505230341.html?t

日本最大の価格比較サイト「価格．ｃｏｍ」が外部から攻撃を受けて一時閉鎖に追い込まれた事件で、製品情報などを管理するデータベースが乗っ取られたのが原因だったことが２３日、関係者の話でわかった。コンピューターの基本ソフト（ＯＳ）などの欠陥を突いて侵入する通常のサイト攻撃とは違い、ソフトの不備ではなく、データベースの安全設定が不十分だった点を悪用された。

　カカクコム（本社・東京）が運営する「価格．ｃｏｍ」は、インターネット上で電気製品などの市販価格を安い順に並べている。データベースはこの製品や価格の情報、利用者の評価などを管理している。

　関係者によると、データベースは「ある範囲の情報を探す」「条件に合ったデータを取り出す」といったコンピューター言語「ＳＱＬ」で操作する。今回の攻撃は「ＳＱＬインジェクション」と呼ばれる手法を応用。攻撃者が利用者のふりをしてデータを入力し、戻ってきたエラーメッセージなどを解析しながらシステムを把握して、データベースを支配下に置いていったとみられる。

　この攻撃を自動的に行うプログラムが昨年秋からネット上で公開され、セキュリティー関係者が警戒を強めていた。

　「価格．ｃｏｍ」を乗っ取った攻撃者は、サイト閲覧者に「トロイの木馬」と呼ばれるウイルスを送ったり、２万件を超すメールアドレスを外部流出させたりしていた。

　対策として、データベース項目や接続する管理者ごとに使える機能を細かく制限し、外部からの命令を受け付けなくすることなどの設定が必要だ。対策済みの企業も少なくない。

　これまでのサイト攻撃は、ＯＳの不備やホームページをネットに提供するプログラムのミスなどを突くケースが多かった。今回は、プログラムに欠陥がなくても、コンピューターが正規の命令か悪意のある命令かは判断できない点を突き、命令をそのまま実行させて支配下に置いていた。

　カカクコムは「攻撃手法については、警察が捜査中で、コメントは差し控えたい」としている。

うーん、カカクコムはアプリで
SQLインジェクション対策してなかったのかなぁ。

こわい、こわい。
気をつけないとね。