「今までにないタイプのSQLインジェクション」――ゴルフダイジェストへの不正アクセス手口が判明

ゴルフダイジェスト・オンライン（GDO）への不正アクセスは，同社データベースへのSQLインジェクション攻撃であることがわかった。 GDOでは，同社Webサイトを構成するデータベースの一部が不正アクセスを受けたとして，2008年10月2日からWebサービスを全面的に停止していた（関連記事）。攻撃の具体的な手順は明らかにしていなかったが，「今までにない新しい手法のSQLインジェクションだった」（同社広報）という。なお，最近セキュリティ・ベンダーからCookieを悪用した新手のSQLインジェクションについて警告が出ている（関連記事）が，この件との因果関係については「コメントできない」（同社広報）としている。 この攻撃の影響で，GDOの配信メールの一部に不正なURLが埋め込まれ，URLをクリックしたユーザーはマルウエアに感染する危険性が生じた。「URLを埋め込まれた可能性のあるメールは，2008年

[deep_one]

どんな手口だ？

[l10n]

ゴルフダイジェストオンライン

[ni-ten0]

GDO大変でしたね

[shukaido170]

「とりあえず今なら、SQLインジェクションと言っておけば許される」的な言い訳では。

[ka-wara]

『Cookieを悪用した新手のSQLインジェクションについて警告が出ているが，この件との因果関係については「コメントできない」』詳細が知りたい／コレと同じかな→ http://www.lac.co.jp/info/rrics_report/csl20081002.html

[atsuizo]

なんという釣り記事。具体的な内容がまるでわからない。日経SYSTEMS9月号のナチュラム・イーコマース事例レベルでの記述を期待。

[cubed-l]

本当に今までに無かったタイプなの？Cookie経由なら確かに目新しいけど出力時のミスが無ければ防げるよね

[FTTH]

何故かさっぱり伸びなかったけどCookieの話。　http://japan.internet.com/webtech/20081003/9.html

[suVene]

『「今までにないタイプのSQLインジェクション」』 もし本当なら、どんなタイプかすげーきになるんだが。

[mattarin]

もっと情報共有しよう

[mi1kman]

「『今までにない新しい手法のSQLインジェクションだった』」が「Cookieを悪用した新手のSQLインジェクションについて警告が出ているが，この件との因果関係については『コメントできない』」そうだ

[h_sabakan]

Cookieを悪用した手法まで編み出されているのか.

[ockeghem]

『攻撃の具体的な手順は明らかにしていなかったが，「今までにない新しい手法のSQLインジェクションだった」（同社広報）という』<これだけの情報では何とも言えないなぁ。新種だからら防げなくてもしかたないと?