http://news.goo.ne.jp/news/asahi/shakai/20050707/K2005070702500.html
ニュース自体は「中国な方の個人情報ゲット系クラック」のお話なんですけれども。
かなり違うところでちょっと引っかかっちゃったわ。
この手のURLはいつ404になるかわからないから、ちょっと長めに引用するわよ。いいわね？*1 *2

http://news.goo.ne.jp/news/asahi/shakai/20050707/K2005070702500.html より
旅行会社「クラブツーリズム」のサイトへの不正侵入事件で逮捕された中国人留学生もカカクコムから会員のメールアドレス約９万件を抜き取っていたが、同庁は、この件については不正アクセス禁止法違反容疑での立件は困難と判断した。
ハイテク犯罪対策総合センターの調べなどによると、カカクコムのサイトは５月１１〜１４日に集中的に攻撃された。同社のサイトを閲覧すると別のサイトに勝手に接続され、「トロイの木馬」と呼ばれるウイルスに感染するプログラムが仕掛けられていた。
同センターがカカクコムのサーバーの接続履歴を調べたところ、この攻撃の中には中国国内にあるサーバーから発信されたものもあった。このため、同センターは中国当局に対し、接続履歴の解析などの協力を求め、所有者などの情報も得たいとしている。
一方、中国人留学生の郁華容疑者（２７）はカカクコムが集中攻撃される前の４月中旬と５月初旬に侵入していた。だが、少なくともこの時点では同社のサーバーは、利用者を特定の人に限り、部外者の侵入を防ぐ「アクセス制御機能」が不十分だった疑いが強いことが判明。不正アクセス禁止法の要件を満たさない可能性が高いと判断したという。

• 容疑者は「そこらへんに転がってる」不正ツールを使ってアタックを仕掛けた
• アタックの結果個人情報を取得。その情報に対して「売却する」という不正利用にまで駒を進めるに至った
• ただ、該当の会社のサーバの状態は「利用者を特定の人に限り、部外者の侵入を防ぐ「アクセス制御機能」が不十分だった疑いが強い」ために、不正アクセスでの立件は難しいと判断した

ってことよね？


ほっほっほ。大丈夫よ。きっと「ちゃんと立件」できてよ。安心して「全てを裁判所に委ねる」といいわ？
報道されている通りに「SQLインジェクションによるホール」だとするならば、そんな操作、当然のことながら、管理者にとって「想定外」の操作よね？
だとすれば

http://japan.cnet.com/news/sec/story/0,2000050480,20082116-2,00.htm より
本件CGIファイルおよび本件ログファイルのURLを入力する方法によっては、これらを閲覧することができないように設定されていた。他方、本件アクセスは、本件CGIの脆弱性を利用したものであり、あえてその方法を管理者が認める必要はなく、想定もしていなかったものである。そうすると、本件の各特定利用ができたのは、プログラムの瑕疵または設定上の不備があったためにすぎないのであり、アクセス管理者が本件アクセス行為のようなかたちで特定利用することを誰にでも認めていたとはいえない。よって、本件においても、本件CGIおよび本件ログファイルの各閲覧は、アクセス制御機能による特定利用の制限にかかっていたものということができる

http://japan.cnet.com/news/sec/story/0,2000050480,20082116-2,00.htm より
『そうすると、本件サーバのCGIおよび本件ログファイルを閲覧するためには、プログラムの瑕疵や設定の不備がなければ、FTPを介してIDとパスワードを正しく入力しなければならないところを、被告人は、HTMLファイルの内容を書き換えることにより、変更前とは異なるリクエストを本件サーバに送信し、本件CGIを起動させることで、ID、パスワードを入力することなく、本件CGIおよび本件ログファイルを閲覧したということができる』