カカクコム続き

カカクコムの件ですが、asahi.com の記事 (記事1記事2) によると、


・今回逮捕された留学生と一時閉鎖の攻撃の直接の関連は薄いと見られる
・留学生の攻撃を受けた時点では「アクセス制御機能」が不十分で不正アクセス禁止法の
 要件を満たさない可能性が高い


のだそうです。そう言われてみると、


・金儲け目的ならばわざわざページ改竄などせず、黙ってデータ落としていればよい
・ツールを使った SQL インジェクションとページ改竄は微妙に異なる攻撃の気がする


ですね。ちょっと洞察が足りなかったです。ただ、そうだとすると今度はどうやって留学生を捕まえることができたのかに興味が湧きます。またアクセス制御機能が不十分とのことですが、法律の定義だとわかりませんが普通の IT 用語で考えるとアクセス制御機能と SQL インジェクション対策は別物のような気がします。実際どうなのでしょう? もうちょっと具体的に書いて欲しい。


いずれにせよ、


・不正アクセス禁止法の対象にならない程アクセス制御が不十分で、
・あちこちから攻撃を受けていたのに、
・「最高のセキュリティ」と言ってしまった。


ということですよね。


つい続けてしまいましたが、カカクコムの話はこれで終わりにします。