「今までにないタイプのSQLインジェクション」――ゴルフダイジェストへの不正アクセス手口が判明:ITpro(情報元のブックマーク数)
ゴルフダイジェストのSQLインジェクションだったそうです。
LACが言っている(ちょうどタイミングよく)Cookieを使ったSQLインジェクションとの関係は言えないとのこと。
GDOでは,同社Webサイトを構成するデータベースの一部が不正アクセスを受けたとして,2008年10月2日からWebサービスを全面的に停止していた(関連記事)。攻撃の具体的な手順は明らかにしていなかったが,「今までにない新しい手法のSQLインジェクションだった」(同社広報)という。なお,最近セキュリティ・ベンダーからCookieを悪用した新手のSQLインジェクションについて警告が出ている(関連記事)が,この件との因果関係については「コメントできない」(同社広報)としている。
「今までにないタイプのSQLインジェクション」――ゴルフダイジェストへの不正アクセス手口が判明 | 日経 xTECH(クロステック)
裏できちんと、LACさんとかのセキュリティ担当会社が動いていますね。対応が良さげです。
マルウエアの詳細情報は,「当社システムのセキュリティ上,現時点では公表を控えさせていただいている」(同社広報)。当該マルウエアは,現時点では複数のマルウエア対策ソフトで検出できる。GDOでは複数のマルウエア対策ソフトを検証した結果,ロシアのカスペルスキー研究所のソフトを推奨しているという。GDOでは,マルウエアに感染したユーザー向けに「GDOウイルス対策フリーダイヤル」を設置して対応している(詳細は同社サイト)。ユーザーが利用しているソフトでマルウエアを検出できるか否かは,こちらの窓口に問い合わせれば個別に回答するとしている。
「今までにないタイプのSQLインジェクション」――ゴルフダイジェストへの不正アクセス手口が判明 | 日経 xTECH(クロステック)
