2005年06月13日(月) [過去の今日]
カカクメソッド の追従例と思われてたOZmailだが、きちんと説明会を開催したようだ。えらいじゃん。
てことでやはりSQLインジェクションですか。どうやら大規模なウェブアプリケーションのようで、その部分を書いたプログラマが素人だったか寝ぼけてたんだろうな。
よくある誤解の一つに「ハッカーはなんでもできる」とか言うのがある。この文脈でハッカーと言ったら、侵入者のこと *1 だわね。ケビン・ミトニック氏あたりは逮捕されたとき、電話一本で核ミサイルを発射できるんじゃないかと思われて厳重に監視されたとか言ってたけど、いくらなんでもそれはむちゃな話。
たいていの侵入者は、既出のセキュリティホールを突いて来るか、管理の甘いアカウントのパスワードを推測したり総当たりで試したりして侵入する。だからきちんとパッチを当てて、アカウント管理を真面目にやっておけば通常は問題無い。問題なのは0day attackと呼ばれる、侵入者に先にセキュリティホールを見付けられてしまうパターン。これはもうどうしようもない。なんとか先に見付けられるように頑張るしか無い。企業ならば定期的に侵入テストをするなどしておくべきかもしれない。
結局なんでもできるとか、狙われたらなにしてても無駄とか、そんなことは無いわけで、相手も人間ということ。セキュリティホール探し競争に負けたら侵入されるというだけで、勝てば問題無い。企業のリソースを使えば個人やコミュニティレベルの侵入者にそうそう負けることはあるまい。
そういう意味でも、 侵入された企業のほうが被害者だ という主張こそ無教養としか言いようがあるまい。勝てる勝負で負けて、顧客に被害をもたらしたのはその企業自身なのだから。
@ 侵入テスト:
世の中には好き者ってのはいるもんで、人様の作ったソフトの穴探しが趣味という人もけっこういたりはする。せっかくだからそういう人達に活躍の場を与えてあげればどうだろうか。
まず侵入テストを行う旨を通知し、侵入者役の人間を募集する。機密保持契約を結んだ上で実際に侵入を試してもらい、セキュリティホールを見付けた分だけ出来高で報酬を払う。
こういう事を実際にやるコストというのは、技術者を雇ってセキュリティホール探しをさせておくよりずっと安いだろうし、ぜひやってもらいたいなと思うのだがどうだろうか。
(@599)