「価格.com」事件,「当社に過失はなかった」とカカクコム社長という記事より。
製品価格を比較できるサイト「価格.com」を運営するカカクコムは5月25日,同サイトへの不正アクセスの原因に関して記者会見を開いた。
会見では攻撃元のIPアドレスや詳細な攻撃の手口が判明し、それを警視庁ハイテク犯罪対策センターに提出したことが発表されました。
しかしての手口に関しては「同じ手口で他サイトが攻撃される可能性があることや警視庁の捜査に支障を来す恐れがある」として一切発表されていません。同業他社に対しては「秘密保持契約を結べば,攻撃の手口を公開する」とも。
結果として、
「サーバーのOSにはパッチもあてていたし,アプリケーションの構造にも問題はないため,当社に過失はない。スパム対策のサポートサイトを立ち上げるなど,被害のサポートはするが,自社の内部理由による被害ではないので,個別の補償はしない」
という判断だそうです。確かにそう言われればそうなのですが、「過失はない」と断言できるものなのでしょうか。というのはやはり、ぞのような手口で攻撃が行われたかが分からないと、過失云々に関しては議論のしようがないですね。
■関連記事
▼「過失はない」「地震のようなもの」——カカクコム、侵入手口明らかにせず
不正アクセスの手口は「判明している」(穐田社長)としながらも「類似犯罪のヒントとなる情報は出したくない」と、詳細は明かさなかった。SQLインジェクションによるものだったする一部報道については「私どもから発表した事実ではない」
▼価格.com閉鎖の原因と対策は非公開――メールアドレス詐取の補償なし
同社独自のアプリケーションのぜい弱性を突かれたのか、運用体制に問題があったのか、もしくは汎用アプリケーションに原因があったのかについても、同社ではまったく明らかにしていない。
▼「過失はない」としながらも不正アクセスの詳細の言及は避ける〜カカクコム
不正アクセスにより価格.comのサイトが改竄され、アクセスしたユーザーのブラウザにウイルスに感染させようとする別サイトがiframeにより読み込まれる形になった。
