またWindowsか!! サウンドハウス顧客情報漏洩事件 [日常の話題・暮らし]
突然、メインで使っているクレジットカードが使えなくなった。はて? と思っていたところ2つの連絡が来ました。1つはカード会社から「お客さまのカード情報が漏洩したため、カードを凍結した」という連絡で、2つめはサウンドハウスから「ごめんね、あなたの個人情報漏洩しちゃった」という連絡。サウンドハウス(http://www.soundhouse.co.jp/)とはその筋の人には大変有名な音楽製作用機材・ステージ設備を扱う販売店で、私もよく利用していました。メールの内容をみると、サウンドハウスのウェブサーバに不正アクセスがあり、今まで利用してきた顧客情報(クレジットカード情報も含む)が盗まれたというものでした。カードが止められてから一週間後、番号の違う新しいカードがカード会社から送られてきました。実害もなかったし、サウンドハウスに対して特別ネガティブな感情は抱きませんでしたが、気になる点が一つ。
ここ数年間で起きた不正アクセスによる大規模な個人情報漏洩事件として、某価格比較サイト、某女性向けファッション誌のサイト、そして今回のサウンドハウスの3つが上げられますが、不思議なことにこれらすべてのウェブサイトが Windows Server (IIS)を使っているという共通点があります。3件とも SQL というデータベースシステムのセキュリティーホールを悪用したもので、OSやウェブサーバソフトウェアとは関係ないはずなのですが、世界のウェブサーバの6割〜8割が Apache というウェブサーバを使っているという事を踏まえると、あまりに不自然な一致です・・・。(確率にしてわずか6%)
考えられる関連性として「Windows Server はセキュリティが弱い」ということか、もしくは「WIndows なんてOSを使うSEはセキュリティに対する意識が低い」と言ったところでしょうか。みなさんはどう思います??
はじめまして。
Windows Server+IIS+ASP.NET+SQL Serverって環境はVisual Studioでさくっと作れるためにセキュリティ意識の低い(単価の安い)技術者が作っていることが多いと思われます。
私のかかわっていたプロジェクトでも・・・(以下自粛)
by ようこそ (2009-02-26 14:34)
あともう一つ、Apatchを使うようなプロジェクトではだいたいフレームワークを使うために個々の技術者のスキルは低くてもフレームワーク側で問題を起こさないようにしているかもしれません。
かかわったことがないために想像でしかありませんが。
by ようこそ (2009-02-26 14:49)