セキュリティに注意

今日はセキュリティの話題です。

エクスコムグローバル社のネットでの情報流出事件の話を覚えてますか?
5月に発表がありました。
平成23年3月から平成25年4月までに同社のサービスを利用したユーザーの
クレジットカードのデータが流出したというもの。

へー、やっぱりカード決済は怖いなあ。

自宅でそんな話をしてましたら、息子。

オレ、被害に遭ってん…。
えっ!おまえが?

ヨーロッパに旅行した際に利用したとのこと。

常々、言ってます。

「ホテルの無線LANなんか使ったらあかんぞ。暗号化もされてないし、筒抜けや。」
「セキュアなシステムを使え。機器はレンタルしたらええねん。」

その教えは今でも間違っているとは思いません。
しかしなあ、決済情報が漏れてしまってはね。

同社の営業担当者と話す機会がありました。
なんでもSQLインジェクション攻撃を受けたとか。云々。

えっ、それってビギナーズアタック!(すいません。私が勝手に作った言葉です)
つまり、初歩の攻撃手法だということ。

私もウェブ解析マスターとか言ってますが、実はSEもやってたりします。
それも、ウェブアプリケーションの構築が専門だったりして。

もし、言葉通りとしたら、
「それはあかんで。ちょっとしたことでこの攻撃は防御できるのに。」
です。

実際に攻撃手法を知っていないと防御はできません。
私自身も攻撃手法をいろいろ知っています。← でも、犯罪には荷担してません
今回の攻撃は、そのなかでも、ごくごく初歩的な手法です。

で、なんでウェブ解析のニュースにこの話題を持ってくるのか?
別にこの会社を糾弾しようなんて思ってませんし、なんで3000円のクーポンやねん。
などとぼやくつもりもありません。

つまりね。
もしかして、いろいろなログイン情報を結合して、お客様の行動トレースしよう。
それには、クッキーを利用して結合したらええやん。
と、思う解析士の方もおられるかもしれないから。

顧客データをクッキーに格納するのは極めて危険だということ。
クッキーにIDやパスワードを入れて設計をしようとするのはめっちゃ危ない。
クッキーの情報なんて、ちょっとしたトリックで簡単に盗まれてしまいます。

ウェブアプリを構築する担当者なら、そんな重要な情報はクッキーには入れないのが普通。
私ならIDも入れないでしょう。

たまに自分が利用したサイトのクッキーを見ることがあります。
そこに格納された内容をみて私がわかるような内容だったら、そのサイトの利用は考えます。
危なすぎる。というか、構築した担当者の腕を疑う。
その情報が漏洩したらどうなるかと考えただけで怖くなる。

ウェブ解析士のみなさん。
提案するのはかまいません。
でも、セキュアな提案をしてくださいね。
そうでないと、あなたが提案したことが裏目に出てしまうかもしれませんよ。