捜査１課の調べでは、冨安容疑者は昨年春ごろ、知人でソフトバンクＢＢの元派遣社員の男性（３０）が社員だった時に使用していた接続用ＩＤやパスワードなどを入力して同社の保守管理用のサーバーコンピューターに侵入するのを盗み見て、ＩＤなどを記憶。同コンピューターに侵入して、顧客情報を引き出すなどするようになった。
　このことを聞いた知人の森容疑者が、義父で元右翼団体会長の森洋被告（６７）＝恐喝未遂罪で公判中＝に伝え、洋被告が金を脅し取ろうと計画。洋被告の指示で冨安容疑者は１月上旬、新宿区内のインターネットカフェで同社のコンピューターに入り込み、約４６０万人分の顧客情報を引き出した。

やっぱデータベースサーバーをちゃんと防御しとかないと＿|￣|○ってことなんですねえ。
記事を読めばすぐにおわかりだと思いますが、

• 辞めた人、関係なくなった人のアカウントを削除していなかった
• インターネットカフェからのアクセスも可能だった

というところが敗因ですかねえ。

• 辞めた人、関係なくなった人のアカウントは即削除する
• それ以前に、ワンタイムパスワードの仕組みと併用していれば、そもそもアカウント消し忘れていても大丈夫だった
• データベースサーバーに外からさっくりアクセスできないように、特定IPとか特定ドメインからのアクセスにしときゃーよかった
• もし仮に突破されていたとしても、誰がいつどういうアクセスをしているか、というのを記録し、定期的にチェックしていればもっと早期に発見できた
  • データベースサーバーのログ取って見てればよかった
  • データベースサーバーのシステムログ取って見てればよかった

ログは取っていても見てなきゃ取ってないのと同じですけどねヽ(´ー`)ノ。