http://japan.cnet.com/news/sec/story/0,2000050480,20085051,00.htm
http://www.mainichi-msn.co.jp/keizai/it/24hour/news/20050706k0000e040053000c.html
http://www.itmedia.co.jp/news/articles/0507/06/news023.html
http://www.asahi.com/national/update/0706/TKY200507060138.html
http://it.nikkei.co.jp/security/news/index.aspx?i=2005070602579ca
http://motivate.jp/archives/2005/07/post_66.html
毎度おなじみ「不正アクセスさん いらっしゃ〜い」のお時間よ。
今日のお客様は旅行会社クラブツーリズムさん。パートナーのクラッカーは中国籍の私立大学３年生の男の子*1。
なんかあちこちのニュースでまたホールについてはぼかしてるんですけれども。どうも

http://www.asahi.com/national/update/0706/TKY200507060138.html より
サイトの欠陥をついて、外部から不正な命令を入力してデータベースを直接操作する「ＳＱＬインジェクション」という手法を使用。攻撃に使ったソフトは、中国語のインターネットサイトから入手したという。

ってことらしいわ。…ふぅ。やっぱり、最近の流行のアタック方法なのね。どんなにお堅い男の子(企業)でも このアタックで落としちゃうぞ!!って感じかしら？
どこぞのティーンエイジ系雑誌のマニュアルデートコーナーでもきょうび取り上げてもらえなさそうなくらい、陳腐なタイトルになりそうだわ。


それにしてもまぁ。

http://it.nikkei.co.jp/security/news/index.aspx?i=2005070602579ca より
郁容疑者は３月15日から17日にかけ、自宅のパソコンからクラブツーリズム社が管理するサーバーに19万回にわたって不正に侵入し、ネットでツアーを申し込んだことがある会員のＩＤやパスワード、住所、氏名、性別、生年月日、メールアドレスなど計約16万件を盗んだ疑い。

http://www.asahi.com/national/update/0706/TKY200507060138.html より
ハイテク犯罪対策総合センターの調べでは、郁容疑者は３月１５〜１７日、自宅のパソコンからいったん米国やフィリピンにあるサーバーを経由して、クラブツーリズムが管理・運営するサーバーに約１９万回にわたって不正に侵入。インターネット会員の氏名、住所、電話番号などの顧客情報を盗んだ疑い。
−中略−
さらに、１月には静岡新聞社の就職支援サイトに不正に侵入して４万件、５月中旬には大手人材派遣会社「アデコ」（港区）のサイトから約８万件の登録者情報を抜き取った疑いがあるという。

http://japan.cnet.com/news/sec/story/0,2000050480,20085051,00.htm より
調べでは、郁容疑者は３月１５〜１７日、計１９万回にわたって自宅のパソコンから、千代田区内のクラブツーリズムのコンピューターサーバーに不正アクセスし、同社の会員の名前や会員番号、パスワードなどの個人情報約１６万件を取得した疑い。
コンピューターのセキュリティーの穴を探し、情報を入手する中国国内で公開された攻撃プログラムを使ったとみられる。同様に今年１〜６月、カカクコムから約９万件、アデコから約８万件、静岡新聞社から約４万件の個人情報を取得していた。

http://japan.cnet.com/news/sec/story/0,2000050480,20085051,00.htm より
ユー容疑者は2005年3月15日から17日までの間、約19万回にわたって保有するPCからクラブツーリズムのウェブサーバに不正アクセスを繰り返した疑いが持たれている。クラブツーリズムでは、インターネット会員である最大約9万300名の会員ID、パスワード、氏名、住所、電話番号、携帯番号、FAX番号、会社名、会社部署名、会社住所、会社電話番号、メールアドレス、生年月日、性別の情報が流出した可能性があると発表していた。
同容疑者は同じ手口を使って他社のウェブサーバにも不正にアクセスした疑いがある。警視庁によれば同容疑者は14社のウェブサーバから合わせて約52万件の個人情報を入手したという。この中にはカカクコムやアデコ、静岡新聞社などが含まれるものとみられる。

っていう状態で、ましてや

http://www.asahi.com/national/update/0706/TKY200507060138.html より
調べに対し、「学費を稼ぐためにやった」と供述しているという。

http://japan.cnet.com/news/sec/story/0,2000050480,20085051,00.htm より
郁容疑者は容疑を認め、「学費のために金が欲しかった」と、一部を販売したことも認めているという。

なんていう相手よ？
んなもの「とっととあちこちに売っぱらいまくる」に決まってるじゃない。そんな簡単なこともわからないのかしら？
これで「悪用された形跡は今のところない」とかって必死に弁明しているあたりが、もはや滑稽の領域に達してるんじゃなくってかしら？
当の旅行会社様もこんな風におっしゃってるわ*2。

http://www.club-t.com/security/index.htm より
流出事件発生から約3ヶ月間におよび、当社では外部のセキュリティ対策専門会社の協力を得ながら、当初にご報告いたしました事象以外に、その他の要因や影響がないかを徹底的に調査いたしてまいりました。その結果、当初にご報告いたしました以外の情報流出の可能性、および流出した情報が悪用されたという明らかな事実は現在のところ確認いたしておりません。

ふぅ…認識能力がよほど欠落しているのね？
それとも、被害者に対する「無意味な」リップサービスなのかしら？


まぁ…根本的に「セキュリティってものを理解するために必要な知能が欠落」してるのよねぇ。だって。ほんの少しでも知能とか知恵とかって類のものがあれば

http://www.club-t.com/security/index.htm より
また、再構築後のサイトにつきましては、セキュリティ対策専門会社による診断テストを繰り返し実施し、脆弱性がないことも確認いたしております。

って発言なんてできないはずですもの。


まぁ結局のところ「火傷しないと覚えない」ってのが企業の体質なのよねぇ。ただ、その火傷が「随分広範囲に他人様を巻き込む」点が問題なんですけれども。
で、「人の振り見て我が振り」を直すどころか、自分が火傷をしてですら「喉元過ぎれば」状態が容易に想像できる、ってのが最大の難点だわね。
後は「マスコミとか使って"被害者面"」をしていけば完璧かしら？
もっとも、あたしならそんなでこぼこな邪神でも祀ってようかって円盤、二度と蘇れないくらい深いところに埋葬しちゃうんですけれども。


そうそうひとつ書き忘れたわ。この中国の男性、あたしの予想だと高い確率で「生贄の羊」になるわね。
それを考えると、ほんの１ミリほどは同情して差し上げても「よろしくってよ？」。