スターツ出版は,同社が運営する女性向けサイトOZmallが不正アクセスを受け,サイトを一時閉鎖した問題について,侵入の手口は「SQLインジェクション」と呼ばれる不正アクセス手法であったことを明らかにした。またウイルス感染については,10件弱の相談が寄せられているが,これまでのところ具体的な被害は報告されていないという。
SQLインジェクションとは,外部からデータベースを操作するSQL文やその一部を入力する不正アクセス方法である。入力データをもとにSQL文を作成するようなアプリケーションが標的になる。開発者が意図しないSQL文を実行され,他のユーザーの個人情報の取得や,データの書き換えが行われてしまう。データベースのデータをもとにWebページを生成している場合は,ページが改ざんされてしまうことなる(関連記事)。
価格.comが不正アクセスされた件については,asahi.comが,「SQLインジェクションと呼ばれる手法を応用した」と報じたが,その内容が正しいかどうかについて,カカクコムでは「答えられない」としている(関連記事)。
SQLインジェクションを防ぐ方法としては,独立行政法人 情報処理推進機構が公開している技術文書「セキュア・プログラミング講座」などが参考になる。
スターツ出版では,5月25日に不正アクセスを認識してサイトを閉鎖。5月30日に再開するまでの間に,全プログラムの見直しと修正,セキュリティ対策会社による安全確認検査などを実施したという。
また,5月25日にOZmallにアクセスしたユーザーがウイルス(トロイの木馬)に感染する可能性があった件については,31日までに10件弱の相談が寄せられているという。相談の内容は「ウイルス対策ソフトの警告が表示されたが,どうすればよいか」などで,個人情報漏洩などの具体的な被害は,これまでのところ報告されていないとしている。ウイルスはオンライン・ゲーム「リネージュII」にログオンした場合にアカウント情報をウイルス作者に送信するもので,データの破壊や他のパソコンへの感染などは行わない。
