http://www.itmedia.co.jp/news/articles/0505/25/news086.html
やぱSQLインジェクションってのは「飛ばし」だったのか。どうりでわけわかんねー記事だと思った（苦笑）。
きっと明日になればいろんなツッコミが入ると思うけど、「当社の過失ではない」というのは法的な意味合いで言ってたりするのかなあ？損害賠償とかを睨めば、その可能性もあると思うけどねえ。もちろん、何をおいても不正アクセスしたヤツは犯罪者で悪いヤツなんだけど、そして刑事事件として犯罪者は糾弾されるわけなんだけど、この手の事件でいつもややこしいのは管理側の管理責任てとこなんだよなあ。そして、管理責任ってどのくらいのもんなのか？という設定が、セキュリティに関心がある人ほど厳しくなり、世間と乖離していく傾向があるよね。裁判所は一般的に世間を見るものなので、そこに強い不満が生まれる構図が出来上がるんだろうなあ。
でも、現場でこのWebサイトがやられるやられない、という話は、そんな世間の思惑とは全然関係が無くてただの弱肉強食というか。強い方＝知っている方が勝つ世界でしかない。たとえはかっこよすぎだけど（笑）プロのスポーツアスリートとただのアマ愛好家って感じだなあ。問題はアマ愛好家側にもアスリートと同じリスクがあるってことだけどね。
しかし、プロのアスリートと違って、アマ愛好家は本業が違うもんなあ。本業以外の、しかもエスカレートする一方の矛と盾の軍拡競争についていくっていったら、本業そっちのけにするしかないのでは？本業に専念してアスリートにリスクヘッジを頼もうと思っても、プロのアスリートは年俸が高すぎてアマ愛好家の手が出るようなところではない。
そうすっと、アマ愛好家が使えて、まあまあ安全、しかもオカネはかからない、というモノが何か必要なんでしょうね。みんなガーディアン@jumperz.net入れとけ、とか、PHPだPerlだRubyだってのに、そもそもサニタイズ機能がビルトインされてるとか、バカチョン開発・実行スクリプト環境とか、きっとそういうことなんだろうなあ。
っていうか、現在のインターネット系のインフラ（いろんなレベルで）って、まだまだ未成熟に過ぎるから、もっと水と安全はタダ、ってふうにならないと、ということなんだろうなあ。もちろんすべてがそうなるわけではなく、自分の情報、お客さんからお預かりしている情報は資産だ、とかってことは意識しておくべきだし、その情報をどう取り扱うべきか、ということはもっと真摯に考えるべきだと思います。ただ、情報のハンドリングっていうレイヤから、プロトコルスタックやさらに下のレイヤまでぜんぶ気にして完璧にしろ、というのはまず無理だから、Webアプリを作ること自体は今より心配すべき点が少なくなって、もっと上の誰に何を見せるかというあたりに注力したいところだよねえ。