教訓はなぜ生かされなかったのか。
公開日 : 2006-02-07 00:41:51
教訓はなぜ生かされなかったのか:IT Pro
「SQLインジェクション」によってクレジットカード番号を含む個人情報が漏洩した件の話。
特にカカクコムの事件は全国紙でも報道されるなど,大きな話題になった。にもかかわらず,ワコールの事件は発生した。教訓は生かされなかったのだろうか。
実はワコールの担当者は,システムを開発したNECネクサソリューションズに対し,2005年7月末に問い合わせを行っていたという。「うちのシステムは大丈夫か」と。
酷いな。脆弱性が酷いのではなくて、
ワコールによれば,7月末,NECネクサソリューションズの担当営業に対し,SQLインジェクション、クロスサイトスクリプティングなど9種のWebアプリケーション脆弱性に関する対策状況の調査を依頼したという。しかしNECネクサソリューションズからはなかなか回答が返ってこないため,ワコールから数回にわたり督促を行ったという。
引用文だらけになってしまうのであとは原文を読んでいただくとして、これが事実だったら、責任もへったくれもあったもんじゃない。
コストがどうとか、事情はともかく、「瑕疵ではない」
という発言もそうだし、クライアントから督促があって、それを放置した後に開き直る、という姿勢が通るような業界なのか? それでいいのか?
技術とか業界以前の問題だと思うがどうか。
