asahi.com: データベースを攻撃、外部から支配 カカクコムHP事件 – デジタル

 日本最大の価格比較サイト「価格.com」が外部から攻撃を受けて一時閉鎖に追い込まれた事件で、製品情報などを管理するデータベースが乗っ取られたのが原因だったことが23日、関係者の話でわかった。コンピューターの基本ソフト(OS)などの欠陥を突いて侵入する通常のサイト攻撃とは違い、ソフトの不備ではなく、データベースの安全設定が不十分だった点を悪用された。

(,,゚Д゚) DBサーバーをDMZに放置!?


コンテンツファイルとアプリサーバーへのコネクタだけ入れたWebサーバーをDMZ(か限定されたDMZ)に置いてアプリケーションとかデータベースはファイアーウォールの内側に入れて穴はホスト規制で前段サーバーからのアクセス以外を弾くなんて初歩の初歩だと思うんだが。うーむ。
MS製のテクノロジだとアプリサーバーをWebサービスにするかActiveXスタブあたりでつなげる事になるのかな。
こんな仕組みで「最高レベルのセキュリティ」とか言われてもなぁ・・・。