楽器や音響機器のショッピングサイト「サウンドハウス」が、SQLインジェクションによる攻撃を受け10万人近くのユーザ情報が流出したことを受け、その経緯や原因について記載した報告書を公開しました。
報告書は22ページにも渡り、とても詳細に記されています。経緯については分単位で記され、中国のブログに攻撃手法が掲載されていたなどという赤裸々な事実が綴られています[1]。
事件の根本となる原因は、バックドアが埋め込まれた2006年にまでさかのぼるようです。報告書を見る限りでは、システム構築や運用などでセキュリティ検証をちゃんと行っており「HACKER SAFE」という脆弱性診断サービスにも登録していたようです。このことから「いかにセキュリティ対策を行っていても攻撃を受ける可能性はある」ということがわかります。
最近、世界的にSQLインジェクションによる攻撃が増えているようです。Shadowserver Foundationでは攻撃に使われる悪質なドメインリストを公開しています。またIPAでは注意を呼びかけ簡易の脆弱性検出ツール「iLogScanner」を公開しています。悪質な攻撃に備えるには少しでも多くの情報が必要です。
普通の企業であれば、攻撃にあった場合その詳細を隠しがちになってしまいます。そういった意味で、この報告書を公開したサウンドハウスは評価に値します。
URL:http://www.soundhouse.co.jp/news/20080418.pdf