IPAからの指摘を教訓にできなかったアイリスプラザ
2008年7月24日(木曜日)
IPAからの指摘を教訓にできなかったアイリスプラザ
うわぁ。これは大ショックです。
- アイリスプラザに不正アクセス、カード情報2万8105件流出か (internet.watch.impress.co.jp)
- カード番号2万8000件流出の恐れ アイリスプラザのECサイト、SQLインジェクションで (www.itmedia.co.jp)
- アイリスプラザ、古いプログラムを突かれカード情報2万8000件を漏洩 (itpro.nikkeibp.co.jp)
そしてお詫びとご説明 (www.irisplaza.co.jp)、FAQ (www.irisplaza.co.jp)。
Q.不正アクセスに対する対策はしていたのか?
A.ファイヤーウォールやSQLインジェクション対策はしておりましたが、既に使われていない古いプログラムは対策されておらず、結果的にそのプログラムから攻撃を受けています。
「SQLインジェクション対策はしておりましたが」って言い切られてしまいましたが、2年前にIPAから指摘を受けて初めて対策したのですよね? 2006年8月24日の時点では、アイリスプラザのトップページにある検索フォームで単引用符を検索したとき、以下のようなメッセージが表示されていました。
Microsoft OLE DB Provider for ODBC Drivers エラー '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]データ型の演算子が無効です。データ型演算子は modulo、データ型は varchar です。
/Meisai.asp, 行 45
そして、商品ページのURLのID部分に%27を付けるとこんなメッセージが。
Microsoft OLE DB Provider for ODBC Drivers エラー '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]文字列 '' の前で引用符が閉じていません。
/OyaSet.asp, 行 12
実際に任意のSQL文が実行できるかどうかまでは確認しませんでしたが、状況証拠としては十分でしょう。
IPAからの指摘を受けた後の動きは非常に素早く、即日修正されたようです。その素早さ自体は評価したいところですが……。
私が見たのはトップページと商品ページという、これ以上目立ちようがないようなページだけです。それらがことごとく脆弱だったわけですから、指摘されたポイントを修正して終わりにするのではなく、「他のページも危ないのではないか」と思ってほしいところです。そこで棚卸しと総点検を行っていれば、「既に使われていない古いプログラム」が放置されることもなかったのではないかと思います。
IPAから指摘を受けたという事実は、経営に伝わったりしているのですかね? 現場レベルで修正して終わりにしてしまったりすると、棚卸しの機会なんて得られないわけでして。こういう事件が起きないことを願って届け出ているのですから、指摘された側でもちゃんといろいろ考えてほしいところではあります。
- 「IPAからの指摘を教訓にできなかったアイリスプラザ」へのコメント (1件)
関連する話題: セキュリティ / SQLインジェクション / 情報セキュリティ早期警戒パートナーシップ
- 前(古い): マール王国の人形姫 天使が奏でる愛のうた
- 次(新しい): 日常3