今日はセキュリティの話題です。
エクスコムグローバル社のネットでの情報流出事件の話を覚えてますか?
5月に発表がありました。
平成23年3月から平成25年4月までに同社のサービスを利用したユーザーの
クレジットカードのデータが流出したというもの。
へー、やっぱりカード決済は怖いなあ。
自宅でそんな話をしてましたら、息子。
オレ、被害に遭ってん…。
えっ!おまえが?
ヨーロッパに旅行した際に利用したとのこと。
常々、言ってます。
「ホテルの無線LANなんか使ったらあかんぞ。暗号化もされてないし、筒抜けや。」
「セキュアなシステムを使え。機器はレンタルしたらええねん。」
その教えは今でも間違っているとは思いません。
しかしなあ、決済情報が漏れてしまってはね。
同社の営業担当者と話す機会がありました。
なんでもSQLインジェクション攻撃を受けたとか。云々。
えっ、それってビギナーズアタック!(すいません。私が勝手に作った言葉です)
つまり、初歩の攻撃手法だということ。
私もウェブ解析マスターとか言ってますが、実はSEもやってたりします。
それも、ウェブアプリケーションの構築が専門だったりして。
もし、言葉通りとしたら、
「それはあかんで。ちょっとしたことでこの攻撃は防御できるのに。」
です。
実際に攻撃手法を知っていないと防御はできません。
私自身も攻撃手法をいろいろ知っています。← でも、犯罪には荷担してません
今回の攻撃は、そのなかでも、ごくごく初歩的な手法です。
で、なんでウェブ解析のニュースにこの話題を持ってくるのか?
別にこの会社を糾弾しようなんて思ってませんし、なんで3000円のクーポンやねん。
などとぼやくつもりもありません。
つまりね。
もしかして、いろいろなログイン情報を結合して、お客様の行動トレースしよう。
それには、クッキーを利用して結合したらええやん。
と、思う解析士の方もおられるかもしれないから。
顧客データをクッキーに格納するのは極めて危険だということ。
クッキーにIDやパスワードを入れて設計をしようとするのはめっちゃ危ない。
クッキーの情報なんて、ちょっとしたトリックで簡単に盗まれてしまいます。
ウェブアプリを構築する担当者なら、そんな重要な情報はクッキーには入れないのが普通。
私ならIDも入れないでしょう。
たまに自分が利用したサイトのクッキーを見ることがあります。
そこに格納された内容をみて私がわかるような内容だったら、そのサイトの利用は考えます。
危なすぎる。というか、構築した担当者の腕を疑う。
その情報が漏洩したらどうなるかと考えただけで怖くなる。
ウェブ解析士のみなさん。
提案するのはかまいません。
でも、セキュアな提案をしてくださいね。
そうでないと、あなたが提案したことが裏目に出てしまうかもしれませんよ。