[雑談] * 【緊急インタビュー】SQLインジェクション攻撃に気づかない企業は山のようにある (日経パソコン)

---

textileウイルスを仕込むなど、ユーザーに被害が及ぶ場合は発見できるが、データベース内のデータをこっそり盗んだだけなら、そうはいかない。SQLインジェクション攻撃を受けているのに、全く気づいていないケース（Webサイト）は非常にたくさんあるのではないだろうか。

あぁ、これは十分ありえますねー。 と言うことは、今回の事件も“iframe でのスパイウェアの混入があったからこそ、はじめてログの解析をすることになって、そして情報抜き出しがたまたま見つかった”みたいな感じなのかも知れませんねー。 ところで、

textile**Ｑ　SQLインジェクションを防ぐにはどうすればいいのか。 **Ａ　基本は、ユーザーが入力した値を適切に変換処理することだ。しかし、完全に防衛する手段は残念ながらない。「”（ダブルクォーテーション）」などの特殊文字を適切に処理しているから大丈夫だとは限らない。

なぜにダブルクォーテーションなんでしょ？ｗ　 まぁ、「**など**の特殊文字」だから良いのでしょうけど、どうせなら「シングルクォーテーションなどの特殊文字」とした方がベターなんじゃないかなぁ。（もちろん、数値型のこととか考えなきゃですけど。）あと、Webアプリケーションファイアウォールを万能みたいに書くのは微妙かもー。 シグネーチャベースだと やはり限界がありますし、個々のパラメータへの許可文字種とかまできめ細かに設定して設置してるとこ少ないみたいですしねー。 どっちみち最終的には、Webアプリ側でちゃんと修正しなきゃなんですよね。**[追記]** * 「価格.com」不正アクセス犯の一人？ 警視庁が容疑者を逮捕 (IT Pro)

---

逮捕されたのは、あくまでも複数の犯人の中の１人だ、ということに言及があるようです。[セキュリティ] * あいつらは一体何を考えてるんだ？ (ITmedia)

---

textileセキュリティ機能を宣伝するクレジットカード会社からのメールに、その機能へのリンクが埋め込まれていた——こいつらはフィッシングのことを聞いたことがないのか？

• 2ヶ月くらい前の記事

20050513#p02

---

にも同じような話がありましたが、アメリカの方では、本当にそんなフィッシングまがいの方法で 正規メールが送られてきてるみたいですねー。(^-^;[製品] * バッファロー、耐衝撃・強力セキュリティ機能搭載のポータブルハードディスクを発売 (日経)

---

textile「ＨＤ−ＰＨＳＵ２／ＵＣシリーズ」は、万が一「落としても安心」。耐衝撃機能として、衝撃吸収材による「フローティング構造」と、衝突時の衝撃を減少させる耐衝撃「バンパーボディ」を採用。…さらに、万が一「なくしても安心」。個人情報保護対策にも最適な、強力暗号化ソフトウェア「Ｓｅｃｕｒｅ　Ｌｏｃｋ　Ｗａｒｅ」を標準添付。

世の中の流れに乗っているようです。(^-^;[雑談] * 外付けUSB接続のハードディスクからWindowsを起動させるには？ (GIGAZINE)

---

◆* BOOT革命/USB　Ver.1の機能説明 (アーク情報システム)

---

USB接続ハードディスクから OS を起動！と言いつつ、実際は、内蔵HDD or FDD or CD-ROM のブートローダから USB-HDD の OS を起動するような仕組みですかね？ （いや、USB-HDD単体を持っていくだけで起動できるわけじゃなさそうなのが少し残念。）[出来事] * カカクコムのサイト攻撃、中国からも (asahi.com)

---

textileハイテク犯罪対策総合センターの調べなどによると、…中国人留学生…（２７）はカカクコムが集中攻撃される前の４月中旬と５月初旬に侵入していた。だが、少なくともこの時点では同社のサーバーは、利用者を特定の人に限り、部外者の侵入を防ぐ「アクセス制御機能」が不十分だった疑いが強いことが判明。不正アクセス禁止法の要件を満たさない可能性が高いと判断したという。

最初は、「掲示板に書き込むのにユーザIDが必要になった時期よりも前だったからかな？」と思いましたが、Google のキャッシュとかで調べてみると、掲示板に認証がついたのは 2005年3月22日だそうなので、違う理由みたいですねー。 （・・・まさか本当に* そういうこと

---

？(汗)）