カカクメソッド の追従例と思われてたOZmailだが、きちんと説明会を開催したようだ。えらいじゃん。

てことでやはりSQLインジェクションですか。どうやら大規模なウェブアプリケーションのようで、その部分を書いたプログラマが素人だったか寝ぼけてたんだろうな。

よくある誤解の一つに「ハッカーはなんでもできる」とか言うのがある。この文脈でハッカーと言ったら、侵入者のこと *1 だわね。ケビン・ミトニック氏あたりは逮捕されたとき、電話一本で核ミサイルを発射できるんじゃないかと思われて厳重に監視されたとか言ってたけど、いくらなんでもそれはむちゃな話。

たいていの侵入者は、既出のセキュリティホールを突いて来るか、管理の甘いアカウントのパスワードを推測したり総当たりで試したりして侵入する。だからきちんとパッチを当てて、アカウント管理を真面目にやっておけば通常は問題無い。問題なのは0day attackと呼ばれる、侵入者に先にセキュリティホールを見付けられてしまうパターン。これはもうどうしようもない。なんとか先に見付けられるように頑張るしか無い。企業ならば定期的に侵入テストをするなどしておくべきかもしれない。

結局なんでもできるとか、狙われたらなにしてても無駄とか、そんなことは無いわけで、相手も人間ということ。セキュリティホール探し競争に負けたら侵入されるというだけで、勝てば問題無い。企業のリソースを使えば個人やコミュニティレベルの侵入者にそうそう負けることはあるまい。

そういう意味でも、 侵入された企業のほうが被害者だ という主張こそ無教養としか言いようがあるまい。勝てる勝負で負けて、顧客に被害をもたらしたのはその企業自身なのだから。

＠ 侵入テスト: