http://itpro.nikkeibp.co.jp/free/NCC/NEWS/20050602/161996/
親愛なる価格.comさまのお話よ？
ここしばらくのBlogを中心とするバッシングに対して、とても誠実に、いろいろなお話をかましてくださっているの。
あたくしも、いろいろなバッシングを見て心を痛めておりましたので、誠心誠意、インタビュー*1の内容を紹介させていただきますわ。

http://itpro.nikkeibp.co.jp/free/NCC/NEWS/20050602/161996/ より
−−不正アクセスが発覚した5月11日時点で，なぜ即座にサイトを閉鎖しなかったのか。
今から振り返れば，そうすべきだったと思う。だが当時は，何が原因か特定できないままサイトを閉鎖することは，多くのユーザーや出店者に迷惑をかけてしまうと考えていた。それよりは，サイトを運営しながら理由を突き止めて対策を打つのがよいと判断した。それが発覚してから3日間，サイトを閉鎖しなかった背景にある。

すばらしいわ。きちんと原因の追究を第一に考えてらっしゃるあたりが、そこらに転がってる平凡な連中とは一味違うってもんだわ？

http://itpro.nikkeibp.co.jp/free/NCC/NEWS/20050602/161996/ より
11日に不正アクセスを受けた時点では，被害の実態が把握できなかったため，社内プログラマーが改ざんされたサイトを修正して対応した。攻撃の間隔も開いており，単なるいたずらの可能性もあったため，どの程度被害がおよぶものか想像がつかなかった。

このあたりからも「想像をはるかに超えた未知の攻撃」であったことが窺い知れるわ？
ましてや「プログラマーが」「サイトを修正して対応していた」のよ？
普通なら「おんなじ穴が開いてるんだからただの焼け石に水じゃん」とか思ってしまうところなんですけれども。きっとそれ以上の「なにか*2」があったのね？

http://itpro.nikkeibp.co.jp/free/NCC/NEWS/20050602/161996/ より
「なんだか危ないからサイトを閉鎖しよう」と言うのは簡単。だが，多くのユーザーや当社で店舗を運営している会社を考えると，おいそれとサイトを閉鎖するのは難しかった。さらに，すぐに閉鎖すれば，不正アクセスの犯人を調子づかせてしまうことにもなる。ただ，結果としては裏目に出てしまった点は否めない。

そうねぇ。確かに「続ける勇気」ってのは必要だと思うわ？
あら？ 「考えてるのは自社の利益だけだろ」ですって？ ひどいわ。そんな言い方ってないと思うの。
もちろん「これに味を占めて"クラックしてもしばらくは閉鎖されないだろうからスピード勝負で一発"」とか考えるクラッカーはきっといないはずよ？*3

http://itpro.nikkeibp.co.jp/free/NCC/NEWS/20050602/161996/ より
−−今回の不正アクセスについて，侵入手口に関する情報を公開すべきではないかという声が少なくない。
公開することにはメリットとデメリットの両方があると思う。当社が真っ先に危惧したのが，攻撃の手口を公開することで，それを真似る第三者がたくさん現れるのではないかということ。具体的な手口が話題になりすぎると，いわゆるプロのクラッカーではない，一般の人まで面白半分で始めてしまうのではないかと恐れた。

そうねぇ。確かにデメリットの部分は見逃せないと思うの。
「一般人が間単にまねできる"最高のセキュリティ"ってなに？」「そもそも"知ったくらいで簡単にまねできる"ほど低レベルな攻撃だったの？」「真似る第三者がたくさん現れるほど以下略」とかって批判するのは簡単よ？
でもきっとそこには何か、計り知れない荒野…もとい、なぞが含まれていると思うの。

http://itpro.nikkeibp.co.jp/free/NCC/NEWS/20050602/161996/ より
−−詳細な攻撃方法ではなくとも，問題となりそうなポイントだけでも明らかにすべきではないか。
もちろん，侵入手口を公開し，皆で情報を共有すれば今後の不正アクセス対策に役立てられることは理解している。だが，仮に手口を公開した場合，その対策を取るまでに企業側はどうしても時間がかかる。万全なセキュリティ体制を固めるまでに，最低でも数日，場合によっては数カ月かかるだろう。

ほら。やっぱり、巷で言われてるSQLインジェクションではないことが、ここからも理解できるわ？
だって、SQLインジェクションの修正なんて、まともなプログラマがちゃんとした設計でコーディングしていれば*4、数ヶ月もの修正期間なんて絶対にかかりませんもの。
これはやっぱり「ものすごく画期的な攻撃」だったんだろうと思いますわ？

http://itpro.nikkeibp.co.jp/free/NCC/NEWS/20050602/161996/ より
−−「不正アクセスを受けても仕方がない」という程度のセキュリティ体制だったのではないか，との指摘もある。
そういう声があることも理解している。1回目の記者会見で私は，自社内で考え得る限りで最高レベルのセキュリティ対策を実施してきたと明言した。だが，会見後にセキュリティ調査を依頼した外部のセキュリティ会社から「最高レベルとはいえない」という診断を受けた。そこは自身の認識が甘かったと素直に反省している。

まぁ、社長である以上、ある程度の認識の甘さってのはやむをえないと思うわ。それに、レベルに関しても

http://itpro.nikkeibp.co.jp/free/NCC/NEWS/20050602/161996/ より
ただ，同じセキュリティ会社から，セキュリティ対策のレベルは決して低かったわけではないと指摘された点も付け加えておきたい。

って指摘されてるみたいですし。
もちろん「何と比較して」とか「セキュリティ会社も機嫌取りで以下略」とか「リップサービスってしってる？」とか、そんな不遜なことを考えてはいけないわ？


全体的に見て、とても誠実な内容だったと思いますの*5。
ただ…あたくし、実は価格.comにNDAのお話をMailで差し上げてるんですけれども…返事一本すら帰ってきておりませんの。
きっとお忙しくていらっしゃるのね？
でも、できたらあたしのようないい女をあんまり待たせないでほしい…って思うのは、あたしの我侭なのかしら？


これからも期待しておりますわ*6。