http://www.asahi.com/digital/internet/TKY200505230341.html

大きな問題になっている価格.comのサイトだが、その脆弱性はSQLインジェクションだということだ。

コンピューターの基本ソフト（ＯＳ）などの欠陥を突いて侵入する通常のサイト攻撃とは違い、ソフトの不備ではなく、データベースの安全設定が不十分だった点を悪用された。

今回は、プログラムに欠陥がなくても、コンピューターが正規の命令か悪意のある命令かは判断できない点を突き、命令をそのまま実行させて支配下に置いていた。

とのことであるが、プログラムできちんと対策すれば、SQLインジェクションを許巣ことはない。言い換えると、SQLインジェクションをされたということは、プログラムに欠陥があったということになる。もちろん、データベースの設定を安全にしておくことも必要である。

一説によると、価格.comのサイトはWindows Serverを使っているとのことである。とすると、データベースも某製品の可能性が高い。
その製品でSQLインジェクションが成功すると、記事にもあるようにOSがのっとられる可能性が高い。
今回はメールアドレスが漏洩したということだが、場合によってはデータベースにあるデータをすべて取得することも可能である。
重要な情報がもれないように気をつけてもらいたいものである。