http://itpro.nikkeibp.co.jp/article/OPINION/20060206/228646/
ワコールさんのクラック周りのお話よ。

さっそくいってみるわね。

http://itpro.nikkeibp.co.jp/article/OPINION/20060206/228646/ より
教訓はなぜ生かされなかったのか
ワコールは2月8日から，約3カ月にわたって閉鎖していたECサイトを再開する。ワコールオンラインショップで不正アクセスによる個人情報漏えい事件が発生したのは2005年11月。5124件の情報の中にはクレジットカード番号が含まれた情報もあり，カード番号を不正使用された顧客の問い合わせにより発覚した。

すごいわねぇ。三ヶ月近くも修正にかかるような、なにか大きな問題点があったみたいなの。そうして、それは。そう、あの偉大なる方々の「最高のセキュリティ」ですら防げなかった、あの手口なの。

http://itpro.nikkeibp.co.jp/article/OPINION/20060206/228646/ より
不正アクセスに使用されたのは，SQL文を外部から送り込む「SQLインジェクション」と呼ばれる手口だ。このSQLインジェクションは，2005年5月に発生したカカクコムやOZmallなどへの不正アクセス事件でも利用されたとされる。

で…ここには、ベンダーとユーザの間にある、深くて暗い溝があったの。
なんでも、ベンダーであるNECネクサソリューションズに、ワコールの担当者は連絡を取っていたらしいの。

http://itpro.nikkeibp.co.jp/article/OPINION/20060206/228646/ より
ワコールオンラインショップは2000年8月にカットオーバーした。システムはNECネクサソリューションズがDE4というパッケージ・ソフトを使用して開発したものだ。NECネクサソリューションズのホスティング・サービスを利用している。

って状態ならまぁ妥当よね。
でも、ワコールの担当者に曰く「数回にわたる督促にもかかわらず回答がなく」「二ヶ月ほどたった後のメールでの返答は不明な点が多く」「再提出の依頼にもほぼ同様のメールしか届かない」感じだったらしいわ。
その後も「口頭レベルで"SQLインジェクションの可能性はあるが個人情報を取得しないPageだ"程度の報告」とか「その後正式な回答は一切ない」とか、ちょっと見には随分と杜撰な対応が伺える感じなの。
でも、それって本当にNECネクサソリューションズの不手際とか杜撰さの表れなのかしら？
彼らはちゃんと

http://itpro.nikkeibp.co.jp/article/OPINION/20060206/228646/ より
ワコールでは，NECネクサの提案により，2004年1月に侵入検知ソフト「SOLVDEFENCE」を導入している。NECネクサソリューションズが開発したサーバー上で動作する侵入検知ソフトだ。

ってことをやっているわ。もちろん

http://itpro.nikkeibp.co.jp/article/OPINION/20060206/228646/ より
SOLVDEFENCEは2005年10月初めにバージョンアップし，SQLインジェクションをに対応した。しかし「当社に対しバージョン情報に関するアナウンスはなく，バージョンアップに関する提案もなかった。ネクサからSOLVDEFENCEのSQLインジェクションに関する告知を受けたのは今回の事件発覚後だった」（ワコール）

とか

http://itpro.nikkeibp.co.jp/article/OPINION/20060206/228646/ より
同じくNECネクサが開発し，ホスティングしている，リトルアンデルセンのECサイト「キッズオンライン」でも，SQLインジェクションによる情報漏えいが発生している。ID（メール・アドレス）とパスワード6725件。不正アクセスは11月6日に行われ，11月29日にNECネクサソリューションズが発見した。

とかって話はあるにしても。
そもそも、なにか皆さんとても誤解をなさっているんじゃないかと思いますの。何が誤解なのかですって？ 今説明するからお待ちなさいな。せっかちな殿方は嫌われてよ？

そもSQLインジェクションってのは、それはそれはとてもハイレベルで高尚で難しいセキュリティホールなの。
実際、NECネクサソリューションズの代表取締役のお一人も

http://itpro.nikkeibp.co.jp/article/OPINION/20060206/228646/ より
「SQLインジェクションは仕様で規定されていない問題であり，瑕疵ではないと考えている」

http://itpro.nikkeibp.co.jp/article/OPINION/20060206/228646/ より
「開発した2000年8月当時，SQLインジェクションは広く知られた脅威ではなかった。建物に例えるなら，建築当時はあまり知られていなかったサムターン回しという手口による侵入が頻発するようになったようなもの。日々新しいセキュリティ・ホールが発見されている。あらゆるケースをすべて網羅して穴をふさぐことはできない」

っておっしゃっているわ。
もちろん、或いは有識な皆様であれば「そもそもデータの出力なんて一箇所に絞るよねぇ」「オブジェクトにすれば対応なんて簡単ジャン」「セキュリティホールを出さないなんて仕様の基本事項で書いてあることだろ？」「2000年に広く知られていないったって今2006年だぜ？」とか、色々に思うことがあるかもしれないとは思いますの。
でも、それは知っている人間の驕りだわ？ 無知で愚かで、学ぶって単語なんて根底から理解できないような輩にそんな高尚でハイレベルで難しいことを要求してはいけなくってよ？
大体、NECネクサソリューションズのWeb Page*1をご覧になってみて？ 特に、企業コンセプト*2のあたりを。
いかにも「横文字つかってよくわからないけど取り合えず騙せる連中なら騙せそうだからまぁ適当にやってりゃいいや」感満載の、とてもわかりやすいPageじゃないかしら？*3
ベンダーって書いてあれば全てがベンダーなら、そこらへんのダンボールだってベンダーになってしまうわ。だから変な男やおかしな女に引っかかっちゃうのよ？
もっとちゃんと相手の中身を見て。ラベルと中身が一致しているかどうかくらい自分の目で確認して頂戴。