さて、価格.comのセキュリティで話題になったSQLインジェクションですが、今回の
がんばれ!!ゲイツ君の
column245でわかりやすい説明がなされていますね。
氏名などの情報はそのWebサイトに繋がっている保管庫に格納されて、必要な時にいつでも取り出せるように管理されています。
で、その情報を取り出すためには、「開けゴマ!」みたいなある決まった呪文(SQL)を唱える必要があるのですが、逆に言うとこの呪文を唱えれば好きなときに好きなデータを取り出したり、書き換えたりすることができるというわけです。
対策を立てていないところでこの呪文をうまく操作すれば、
やったば!!みたいな情報が無尽蔵に取り出せるわけですね。
なので、今回はサイトも書き換えられてしまった以上、メールアドレスだけ漏れたともちょっと思えないのですけれどね。価格.comには外部のセキュリティ監査のベンダーも入って、メールアドレスしか漏洩していない、と報告を出しているようなのですが、SQLインジェクションを発見できなかったベンダーがまともな調査ができているとも思えませんから、あまり信用しない方が良いかと思いますよ(:-P。
ということです。
おっしゃるとおりだと思いますよ。メールアドレスだけ流出したなんて考えられませんもの。メールアドレスが取れるなら、他の情報も取られていると思って間違いないと思います。いやぁ、すぐやられちゃうWindowsサーバって怖いですね、ってWindowsサーバに限った話じゃないんですが…