2010年1月15日金曜日

IT業界にプロは存在しないのか? セキュリティ編

数年前のことです。知人が働いていた会社のオンラインショップがクラッキングに遭い、相談に乗って欲しいと頼まれたので、とりあえずどんな状況なのか聞いてみることにしました。


クラッキングとは、悪意をもった第三者が不正にコンピュータに侵入し、情報を盗んだり破壊したりして被害を与える行為です。個人のカード情報が漏洩して悪用されたり、ウェブサイトが勝手に書き換えられユーザーがアクセスするとポルノ画像が表示されたり、膨大なアクセスを意図的に引き起こしてサイトがダウンしてしまうなど、様々な被害報告で時折世間を騒がせるので、ご存知の方もいらっしゃると思います。


このクラッキングについては「攻撃対象となるのは政府や大手企業だけ」という誤解がいまだにあります。「自分の会社は有名じゃないので………」という反応をしばしばいただくのですが、会社の知名度や規模には全く関係なく、ランダムに狙われます。攻撃対象になるかどうかは、知名度ではなく、セキュリティがしっかりしているかどうかにかかっていると理解してください。


クラッキングに遭ったその会社に状況を尋ねると、オンラインショップを開発し管理していた外部業者が問題に対処しようとはしているが、既に丸3日以上ダウンしているとのことでした。それだけでも大きな損害です。しかし話を聞けば聞くほど、耳を疑うような事実が発覚したのです。


ファイヤウォールがない!


ファイヤウォール(FW)とは外部からの不正侵入を防ぐための措置で、外部に公開するウェブサーバー(ネット上でウェブサイトを公開できるよう24時間365日稼動させることを想定して作られたコンピュータ)を守る手段としては基本中の基本です。サーバーがオフィスビルだとすればFWはビル入り口の鍵のようなもので、必要不可欠な存在なのです。


しかしその会社のウェブサーバーにはFWがない状態でした。しかも、そのことをクラッキングに遭ってから初めて知らされ、「FWは今からでも付けられますが追加費用がかかります」と説明されたそうです(それ以前の問題として、FWなしでウェブサーバーを公開することなどあり得ないのですが……)。


ホスティング(ウェブサーバーをレンタルするサービス)業界には、このようにセキュリティの全くない、安かろう悪かろうの環境を提供しているところが結構あります。そして、その格安の環境を間借りし、日本語対応という付加価値だけ足して価格を釣り上げ、サービスを提供しているIT業者をよく見かけます。しかし、ホスティングを提供するのであれば、提供者側の責任として最低限のセキュリティ対策を行うべきです。


暗号化せずにカード情報を保存!


この会社のオンラインショップでは、FWがないだけでなく、顧客のカード情報を暗号化しないまま保存していました。「いまだにそんな業者がいるのか」という意味で新鮮でした。オンラインショップで何かを購入した経験のある方は多いと思います。同じ店で繰り返し購入している場合でも、毎回カード情報を入力する必要があり、「おや?」と思ったことはありませんか? 氏名や郵送先などの情報はユーザー登録して再利用されているのだから、カード情報も同じように保存して利用してくれればよさそうなものなのに、世の中の多くのショップがそうしないのにはもちろん理由があります。


ウェブサーバーが世界中のパソコンから自由にアクセスでき、クラッキングの脅威にさらされている以上、リスク回避策として、重要な情報は出来るだけウェブサーバーに保存しないようにしているのです。そして、どうしても保存する必要がある場合は、暗号化するのが普通です。以前に比べてセキュリティ要求は厳しくなっており、オンラインショップがマーチャントアカウント(販売者のための銀行口座)を取得するための審査もますます厳格になっています。しかし、オンライン用のマーチャントアカウントではなく、オフライン用のマーチャントアカウントを利用するのであれば、この限りではありません。この会社のマーチャントアカウントもそうでした。


そのため、暗号化せずにカード情報を保存するという、本来であればあり得ない致命的な問題も発覚しなかったのだと思います。この会社のオンラインショップは特に有名なわけではありませんが、狙われる理由は十分にあったわけです。