http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050610/162555/

価格.comの対応を反面教師にして(?)、こちらは好意的な対応をしたようです。
こちらもSQL Serverでした。「Webサーバーのエラー・メッセージをそのまま表示しないこと」と述べているので、そのまま表示していたところが狙われたのかな。エラーメッセージでぐぐって、上位から順に攻撃したってことでしょうか。お手軽に攻撃目標を見つけ出せそうですね。
ファイアウオールの設定、データベースのアクセス権限について、「運用当初は厳しくしていても，運用を続けるうちに，ユーザーの要望に合わせてポートを開いたり，権限を付与したりしてしまう。その結果，いつの間にか緩い状態になっていることが少なくないという。」だそうな。これってセキュリティの宿命だよなぁ。
学校が危険な場になってきたのでインターホンをつけて門を閉めるようにした。でも、いつも遅刻してくる生徒がいるので、結局、午前中は門を開けっ放しにしている、なんてありそうな話です。
セキュリティによる制限は、なくて済むならないほうがいいけど、いったんどこかがセキュリティを強くしたらもう戻れないのかもね。守る側が疲弊したら負けの厳しいゲームなのか...。