セキュリティに注意

ウェブ解析士 提案の実践法則! セキュリティに注意

ウェブ解析士マスターの亀井耕二です。

今日はセキュリティの話題です。

エクスコムグローバル社のネットでの情報流出事件の話を覚えてますか?
5月に発表がありました。
平成23年3月から平成25年4月までに同社のサービスを利用したユーザーの
クレジットカードのデータが流出したというもの。

へー、やっぱりカード決済は怖いなあ。

自宅でそんな話をしてましたら、息子。

オレ、被害に遭ってん...。
えっ!おまえが?

ヨーロッパに旅行した際に利用したとのこと。

常々、言ってます。

「ホテルの無線LANなんか使ったらあかんぞ。暗号化もされてないし、筒抜けや。」
「セキュアなシステムを使え。機器はレンタルしたらええねん。」

その教えは今でも間違っているとは思いません。
しかしなあ、決済情報が漏れてしまってはね。

同社の営業担当者と話す機会がありました。
なんでもSQLインジェクション攻撃を受けたとか。云々。

えっ、それってビギナーズアタック!(すいません。私が勝手に作った言葉です)
つまり、初歩の攻撃手法だということ。

私もウェブ解析マスターとか言ってますが、実はSEもやってたりします。
それも、ウェブアプリケーションの構築が専門だったりして。

もし、言葉通りとしたら、
「それはあかんで。ちょっとしたことでこの攻撃は防御できるのに。」
です。

実際に攻撃手法を知っていないと防御はできません。
私自身も攻撃手法をいろいろ知っています。← でも、犯罪には荷担してません
今回の攻撃は、そのなかでも、ごくごく初歩的な手法です。

で、なんでウェブ解析のニュースにこの話題を持ってくるのか?
別にこの会社を糾弾しようなんて思ってませんし、なんで3000円のクーポンやねん。
などとぼやくつもりもありません。

つまりね。
もしかして、いろいろなログイン情報を結合して、お客様の行動トレースしよう。
それには、クッキーを利用して結合したらええやん。
と、思う解析士の方もおられるかもしれないから。

顧客データをクッキーに格納するのは極めて危険だということ。
クッキーにIDやパスワードを入れて設計をしようとするのはめっちゃ危ない。
クッキーの情報なんて、ちょっとしたトリックで簡単に盗まれてしまいます。

ウェブアプリを構築する担当者なら、そんな重要な情報はクッキーには入れないのが普通。
私ならIDも入れないでしょう。

たまに自分が利用したサイトのクッキーを見ることがあります。
そこに格納された内容をみて私がわかるような内容だったら、そのサイトの利用は考えます。
危なすぎる。というか、構築した担当者の腕を疑う。
その情報が漏洩したらどうなるかと考えただけで怖くなる。

ウェブ解析士のみなさん。
提案するのはかまいません。
でも、セキュアな提案をしてくださいね。
そうでないと、あなたが提案したことが裏目に出てしまうかもしれませんよ。