• メモ

privacy:個人情報漏洩で脆弱なシステムの責任をソフトメーカーに問う事例(Matimulog)
SQLインジェクション対策もれの責任を開発会社に問う凡例(徳丸浩の日記)
カード情報流出につきウェブサイトの発注システムの設計製作をした受託業者に責任が認められた事例(弁護士江木大輔のブログ)
クレジットカード情報の漏えい事故の責任　東京地判平26.1.23判時2221-71(IT・システム判例メモ) [Add 2015/01/26]
第 5回の教材に判決文あり (SOFTIC 判例ゼミ2014)

• 判決文を読んでると、SQLインジェクションは「注文する商品の色選択画面」(P17)にあったようなので、業者が作成したとこではないのかな?
• てっきり業者が追加で作成した部分かと思ってたけど、EC-CUBEのパッチを適用していなかったのも原因ですかね・・
• とりあえず、オープンソース(ミドルウェア/フレームワーク あたり)の「SQLインジェクション対策」ってのも責務の対象ってことで理解した
  • EC-CUBE脆弱性情報に該当期間で公表されている物がなさそうだけど・・。 納品時に、最新パッチまで当たっていたかは不明