それにしても、カカクコムの攻撃手段は「秘密」ということになっているんですが(価格.com閉鎖の原因と対策は非公開)、そうなんですか?アサヒコムではSQLインジェクションだという風にかかれているみたいですけど(データベースを攻撃、外部から支配 カカクコムHP事件)、誤報なんですかね。
OSの未知のセキュリティホールを突かれたりしたんだったら「しょうがないか」とも思えますけど、SQLインジェクションだっていうんならアプリケーションの不備っていうことになっちゃうわけで。「最高のセキュリティ」を自認するカカクコムとしては、もし本当にSQLインジェクションだったんなら、かなり恥ずかしいですよね…。
あと、カカクコムのこの辺の言い分には、もう空いた口がふさがりませんですよ。
価格.com閉鎖の原因と対策は非公開同様のぜい弱性を狙って他サイトが不正アクセスされる可能性があるのかとの問いには、「他社のシステムを把握していないので何とも言えないが、このような攻撃はあり得る話だ」(穐田氏)としている。そうなると、なおさら今回の事件の原因と対応策が気になるところだ。当然、会見では「各社が防御策を立てるためにも原因を公表してほしい」と、この点に質問が集中した。「この場で話すことはできない。ただ、IPA(情報処理推進機構)には事態を報告しており、IPAを通じての情報開示は行う」としている。さらに、「自社のシステムに不安がある場合、機密保持契約を結んだ上で再犯防止に協力することは可能だ」(穐田氏)としている。
どんな内容かも全く明らかにしないくせに、秘密保持契約を結ぶ企業があるんでしょうかね…。そもそも秘密保持契約ってのが、「恥ずかしいから内緒にしておいてね」と言っているとしか思えません。
あなたたちが自意識過剰全開でひた隠しにしているセキュリティ問題で、他の企業が攻撃を受けた場合、あなたたちはどう思うんでしょう?「僕らを信じなかったから悪いんだよ」って?
セキュリティに関するリスクは、少なくともその対応策が存在している場合には、必ず明らかにすべきです。これはインターネットにおけるセキュリティの大原則です。その対策を「怠った」人が被害をこうむるのは、その人の責任だと言えますから。
カカクコムのやっていること、言っていることは、インターネットのあり方やコンセンサスに対する冒涜だと、僕は思います。「僕らを信じないんなら、どうなっても知らないよ?」って脅しているのと一緒ですよ。彼らの話していることのレベルを見る限り、僕には狼少年だとしか思えませんけど。
コメントする