本日の夕刊に「SQLインジェクション」と呼ばれる手法で「企業のサイト」に不正に侵入し、個人情報のデータを大量に盗むという「情報窃盗」犯罪が新聞に掲載されました。そこで、お尋ねします。この名称は、ご存知でしたか?。私は、知りませんでした。また、盗まれた個人情報の被害者は誰でしょうか?。ポイントは15。コメントはつけませんので、ご了承ください。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2005/09/07 19:22:48
  • 終了:--

回答(9件)

id:taknt No.1

きゃづみぃ回答回数13539ベストアンサー獲得回数11982005/09/07 19:31:37

ポイント15pt

http://fumika.jp/nikki/2005/05/kakaku-sql-injection

価格.com の改竄は SQLインジェクション

価格.comの事件で 「SQLインジェクション」というものを知りました。


以降、社内では、「SQLインジェクション」対策を入れるように周知がありました。


この場合の被害者は、そのHPを利用するユーザーとその企業ですね。


このため、HPがしばらく閉鎖されたので利用できなくて 不便でした。

一応、被害者ということでしょうか。

id:Kumappus No.2

くまっぷす回答回数3784ベストアンサー獲得回数1852005/09/07 19:32:05

ポイント15pt

被害者はアデコという会社のようです。

http://www.hotfix.jp/archives/word/2004/word04-15.html

[HotFix Report] セキュリティ用語−SQLインジェクション(SQL injection)

名前は最近知りました。なるほど、こういう理由でインジェクションっていうんですね。

id:xnissy No.3

xnissy回答回数1029ベストアンサー獲得回数2032005/09/07 19:47:35

ポイント15pt

http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20041130/153280/

個人情報保護は誰のためのものなのか?:ITpro

「SQLインジェクション」は知っていましたが,「情報窃盗」は初めて聞いたような気がします.


被害者は顧客(個人情報の当該個人)でしょう.


「情報窃盗」という言い方からは,企業も被害者だと言い逃れをしたいのが伺えますが,SQLインジェクションされるようなサイトを構築してしまった責任は企業にあるはずです.

id:suspense

「情報窃盗」罪は私の造語です。そういう方面の仕事をしておりまして、つい、出てしまいましたが、しかし、いずれ法整備されると思います。ここにチェックが入るとは想定外でした。すいません。

2005/09/07 19:58:06
id:nitscape No.4

nitscape回答回数526ベストアンサー獲得回数02005/09/07 19:57:24

ポイント15pt

ちょっと前から各種メディアでこの名称を聞くようになっていたので知っていました。


SQLインジェクションはSQL命令を使っているのでこのように呼ばれていますが、不正アクセス(?)に使われる手段としては大昔からよく知られている考え方に基づいた方法です。

id:renmin-plus No.5

renmin-plus回答回数23ベストアンサー獲得回数02005/09/07 20:12:13

ポイント15pt

SQLインジェクション、名称と具体的な手法も知ってました。本日の夕刊のは調べればわかりそうなものなので調べてませんが、そういえばちょっと前の価格コムの事件もSQLインジェクションだったというウワサです。価格コムはそれについてコメントしなかったようですが。

id:Hidehisa No.6

Hidehisa回答回数24ベストアンサー獲得回数22005/09/07 20:18:38

ポイント15pt

http://www.atmarkit.co.jp/fsecurity/rensai/webhole02/webhole01.h...

@IT:Webアプリケーションに潜むセキュリティホール(2) - Page1

XSSやSQL Injectionは、ウェブアプリケーションではかなり古くから「対策して当然」のセキュリティホールとして広く認識されているはずです。

なので、以前に価格.comがSQLインジェクションでやられたときに「最高のセキュリティ」と言っていたのが各所で呆れられたのです。


サイトへの不正侵入の被害者は、侵入された会社で、個人情報を盗まれたことの直接の被害者も同じく侵入された会社です。

しかし、盗まれた個人情報が迷惑メールの送信やその他の犯罪に使われた場合、その被害者は個人情報の主であり、侵入された会社は「過失により個人情報の主への被害をもたらした」ある意味での加害者でもあるという認識が一般的でしょう。

id:rengoku No.7

msk回答回数34ベストアンサー獲得回数02005/09/07 20:46:08

ポイント15pt

http://www.kakaku.com/

【価格.com】 賢者の買物 - 価格比較・クチコミ・レビュー

やはり私も価格comの事でこの手法をしりました。

被害者は企業とユーザーでしょう。


今後発生するこの手法での被害の責任は企業にあるかと思います、対策を怠っているのですから。

id:TomCat No.8

TomCat回答回数5402ベストアンサー獲得回数2152005/09/07 20:56:35

ポイント15pt

http://itpro.nikkeibp.co.jp/free/NPC/NEWS/20050706/164102/

【緊急インタビュー】SQLインジェクション攻撃に気づかない企業は山のようにある:ITpro

SQL Injectionは単にデータベース操作の脆弱性を利用しただけで、

特に新しい技術でも難しいテクニックでもありません。

ですから、名前も手法も、それなりに知られていると思います。

私もこうした方面は専門ではありませんが知っていました。


盗まれた個人情報の被害者は、Webを通じて

攻撃を受けた会社と何らかのやりとりをした人、

ということになってくると思いますが、

一番可哀想なのは、攻撃を受けた企業のサイトの

管理責任者ですよね。

対策の甘さを指摘されたら、もう立つ瀬がありません。


さらに盗まれた情報が悪用されれば、

カード会社やそこと契約を結ぶ保険会社なども

被害を被る可能性があるかと思います。

id:borin No.9

borin回答回数2053ベストアンサー獲得回数02005/09/07 22:17:52

ポイント15pt

http://www.lp-mds.com/newsrelease/20031027.html

ダイレクトSQLコマンドインジェクションの危険性調査

SQLインジェクションは知りませんでしたね。

いろんな脅威がありますが、

どんな対策をすれば完璧なんだって思ってしまいますよね。


完璧に対策をしても次々新しい不正がはっかくする。

ずっといたちごっこなんでしょうか。

id:suspense

みなさん、ありがとうございます。

2005/09/08 06:18:14

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません