http://www.asahi.com/national/update/0524/TKY200505230341.html?ref=toolbar
価格.comのお話よ。
ニュースソースがひとつだけなので、まだもうひとつ眉唾な部分があるんですけれども…とてもショッキングな内容でしたのでお届けいたしますわ。
元URLが記事全文削除とかの可能性があるので、たっぷりの引用でお送りするわね？

　日本最大の価格比較サイト「価格．ｃｏｍ」が外部から攻撃を受けて一時閉鎖に追い込まれた事件で、製品情報などを管理するデータベースが乗っ取られたのが原因だったことが２３日、関係者の話でわかった。コンピューターの基本ソフト（ＯＳ）などの欠陥を突いて侵入する通常のサイト攻撃とは違い、ソフトの不備ではなく、データベースの安全設定が不十分だった点を悪用された。

まぁ？ どんな風に不備があったのかしら？
「最高のセキュリティ」と呼ばれるものの不備ですもの。もちろんとても興味深々よ？ あたくしったら。

　関係者によると、データベースは「ある範囲の情報を探す」「条件に合ったデータを取り出す」といったコンピューター言語「ＳＱＬ」で操作する。今回の攻撃は「ＳＱＬインジェクション」と呼ばれる手法を応用。攻撃者が利用者のふりをしてデータを入力し、戻ってきたエラーメッセージなどを解析しながらシステムを把握して、データベースを支配下に置いていったとみられる。
　この攻撃を自動的に行うプログラムが昨年秋からネット上で公開され、セキュリティー関係者が警戒を強めていた。

えっと…あたくしのみ間違いかしら？ 記憶違いかしら？
ＳＱＬインジェクションって、確か記憶に間違いがなければ「データクレンジングまともにやってないバカスクリプトが抱え込む初歩的で情けないバグ」だったように記憶してるんですけれども…
ええきっと違うはずよね？ まさかそんな「最高のセキュリティ」であるはずの価格.comが、よりにもよってそんな「CGIプログラムセキュリティ 初級編」で題材にしても問題ないくらい初歩的なミスを犯してるなんて、そんなことあるはずないわよね？
いやだわぁ、びっくりしちゃったわ。

　対策として、データベース項目や接続する管理者ごとに使える機能を細かく制限し、外部からの命令を受け付けなくすることなどの設定が必要だ。対策済みの企業も少なくない。

きっとこれは「SQLインジェクション」のことを指してるのであって、価格.comの今回のお話とは無関係なのよね？
だってそうしないと「最高のセキュリティ」と、あまりにも矛盾に満ちた、恐ろしい回答が待っているんですもの。

　これまでのサイト攻撃は、ＯＳの不備やホームページをネットに提供するプログラムのミスなどを突くケースが多かった。今回は、プログラムに欠陥がなくても、コンピューターが正規の命令か悪意のある命令かは判断できない点を突き、命令をそのまま実行させて支配下に置いていた。

今回は…っていうのは、何を指しているのかしら？
あんな幼稚で初歩的で「いまどきこれを設計したのは素人さんかしら？」っていうようなミスをするはずがない価格.comの事件を取り除くと、「今回」が刺ししべすべき事件が記事のどこにも載っていないのよね？
きっと記者さんが書き忘れたんだわ？
だめねぇ。そういうのはちゃんと明文化していただきませんといけませんわ。
だって、このままじゃ「当初は最高のセキュリティとかほざいてて蓋開けたらこんな初歩ミスかよ？ 価格.comの連中の技術力、地べたを這うくらい低い最低レベルの、常識も良識も技術も知能も全部まとめて疑えそうな感じジャン」とか勘違いされてしまうわ？
それでは、たくさんの費用と有り余る知識と素晴らしい技術の結晶である「最高のセキュリティ」があまりにもかわいそうではなくってかしら？

　カカクコムは「攻撃手法については、警察が捜査中で、コメントは差し控えたい」としている。

そうよ！
きっと「いまだ知られざる完璧な攻撃」であったために、防ぐことはおろか、解析することすら困難なのだわ？

価格.comさん、あたくしはずっと応援してますわ。そして信じてますわ。あなたたちが「素晴らしい最高のセキュリティ」の体現者であったことを。
そうそう。疲れたら、僭越ながらあたくしがティーパーティーを開きますわ。そこでゆっくりと癒されてくださいませ。
ええ。あたくし特性の粉砂糖をつかった豪華なマジパンを大量に用意しておきますから。たっぷりと召し上がって、疲れを癒してくださいませ。もちろん、そのまま眠っていただいてかまいませんことよ？ 永遠に。