http://itpro.nikkeibp.co.jp/free/SI/NEWS/20050525/161513/

今回の事件では，サイトへ登録しているユーザーのメールアドレス2万2511件が搾取されたが，「サーバーのOSにはパッチもあてていたし，アプリケーションの構造にも問題はないため，当社に過失はない。スパム対策のサポートサイトを立ち上げるなど，被害のサポートはするが，自社の内部理由による被害ではないので，個別の補償はしない」（穐田氏）とした。

http://internet.watch.impress.co.jp/cda/news/2005/05/25/7754.html

具体的な攻撃の内容や脆弱性の種類などについて公表しなかったため、会見では「攻撃を受けた原因は製品の脆弱性にあったのか、運用面での問題にあったのか」「再開にあたってはどのようなシステムに変更したのか」「海外からの攻撃だったのか」「攻撃はSQLインジェクションによるものだとの一部報道もあるが、それは事実か」といった質問が相次いだが、「具体的な内容についての公表は避けたい」とする回答を繰り返した。

SQLインジェクションでクラックにあったと言う事は、サーバー側での受信データのチェックが甘かったということ。つまりはサーバーを運用していた方の責任。「最高レベルのセキュリティ」ってのもたかが知れてるんじゃぁ。

ほかにも幾つか見てみたが、中の人は「Windows Update以上のことはわからない」とかいってそう。保証はしないのではなく、できない(してたらきりがない)そんな気がしてくる。最終的にはアプリを作ったところに責任をなすりつけたりして。

「心配されている企業があれば，秘密保持契約を結んだ上で，再犯防止に協力していきたい」

という一文を攻撃方法ですら商品として売っている。そう取りたくなるのは気のせいか？