「過失はない」「地震のようなもの」――カカクコム、侵入手口明らかにせず

同社は今回、OSの再インストール、ソフトウェアの全面見直し・強化を実施したというが、新システムの詳細は「言えない」（穐田社長）。

それは、いえないでしょ。そもそも、それを知ることがクラッキングの第一歩。記者会見でシステムの詳細を聞くというのは、ある意味ソーシャルエンジニアリングの一種かも。

不正アクセスの手口は「判明している」（穐田社長）としながらも「類似犯罪のヒントとなる情報は出したくない」と、詳細は明かさなかった。SQLインジェクションによるものだったする一部報道については「私どもから発表した事実ではない」（穐田社長）と、肯定も否定もしなかった。

ところで、SQLインジェクションが使われたという話については、おそらくそうなんだろうなと思っています。メールアドレスが流出したということは、Webサーバーを経由してDBのデータを見たということだと思うので、どこかのタイミングでSQLインジェクションが使われたと考えるのが妥当ではないかと。ただし、それ以前にサイトの改竄が行われているので、もともとのWebサービスそのものがサニタイジングしていても、SQLインジェクションを防ぐことはできなかったはず。
つまり、まず、Webサーバーの何らかの脆弱性を使って、サイトのソースファイルを改竄し、その上でSQLインジェクションを使ってメールアドレスデータを取得したと。