スカイソフト、外部からの攻撃により5,000件のカード情報漏洩 36
ストーリー by kazekiri
なかなかなくならない 部門より
なかなかなくならない 部門より
Anonymous Coward曰く、"スカイソフトが外部からの不正アクセスがあったとして臨時メンテナンス中。 タレコミ人はかなり昔(もう4、5年前?)にスカイソフトで書籍を一度買ったことがあり、この不正アクセスによりクレジットカード番号を含む個人情報の漏洩の恐れがあるという電子メールが届きました。 でもサイトが見れないと購入履歴もどのカードを登録してるかもわからないのですが(忘れるほうもどうかとも思うが)……"
INTERNET Watchによれば、計3回のSQLインジェクションによる攻撃を 受け、氏名、住所、電話番号などが記載された約13,000件の情報が流出し、 そのうち約5,000件はクレジットカード情報も記載されていたとのこと。
ググってみた (スコア:4, すばらしい洞察)
そもそも、・・・(以下省略)
またSQLインジェクションか (スコア:2, すばらしい洞察)
Re:またSQLインジェクションか (スコア:3, すばらしい洞察)
Webプログラム、誰にでも簡単に書けるように見えます。でも、実際は違いますね。特に外部公開されるシステムはすべての開発要員がセキュリティの知識を持っていなければならないと個人的には思う。
それなのに上の連中は新人さんを次から次へと投入してくるんだから.....。はぁ。
セキュリティを知らない人間は外部公開されるWebプログラムは作らないでほしいです。周りに公害を広めるだけなので。
でも、私自身SQLインジェクション攻撃ができるところを見つけてもそれを修正しなかったという前科があるのだった(非道)。まあ、社内システムでしたからね(極悪)。
Re:またSQLインジェクションか (スコア:2, 興味深い)
とりあえず動いてそこで満足しちゃうとか、それ以上時間をかける事の出来る人員がそもそも用意されてないとか。
「完璧」じゃないと危険があるけど、それが出来るのは特定のスキルを持ってる人が作るとか、メンテしないとできない。
しかも、世の中ドンドン新しい攻撃が出てくる。
あと、もう一つは「入門書」や「参考書」を書くスキルと、「安全なコード」を書くスキルはまったく別物ってのも有るかもしれない・・・
# ちょっとそのままコピペすると危険な作りの入門書とか多い気がする。
Re:またSQLインジェクションか (スコア:1)
セキュリティーのことまでしっかり考えて作ったサンプルコードが載っている本があったとしても、そんなコードが載っている本は、もはや入門書ではなかろうという気がするんですが。(笑
vyama 「バグ取れワンワン」
Re:またSQLインジェクションか (スコア:2, 参考になる)
少なくとも1/24 15:30の時点ではスカイソフト [skysoft.co.jp]のサイトに情報漏洩に関する記述はありませんが、情報が流出した恐れがある顧客への連絡は行っているんでしょうか。
特にクレジットカードの情報が漏れた可能性があるのならばすぐに顧客にそれを連絡するべきでしょう。
スカイソフトがそうかどうかはわかりませんが、クレジットカードの被害は保険でカバーできるし、個人情報漏洩のお詫びも1件500円でOK、のように問題を軽視している事業者が多いように思えてなりません。
Re:またSQLインジェクションか (スコア:1, すばらしい洞察)
個人情報保護法が既に施行されていますから
それだけじゃ済まないことはみんな知ってますよ
情報が漏洩してしまうことの前に
万が一の漏洩の事態でも被害を最小限に留める為にも
不要な個人情報を蓄積しておくことを弊社では禁止しています
他所でも同様に厳しくやってるんじゃないでしょうか?
Re:またSQLインジェクションか (スコア:1, おもしろおかしい)
Re:またSQLインジェクションか (スコア:0)
#cshでCGIスクリプト書いてた時代もあったねと。
Re:またSQLインジェクションか (スコア:2, すばらしい洞察)
と経営者に聞いてみたいね。
プログラマがSQL文の数なんざ覚えている必要はないけど、
顧客データの載ってるDBの数や、対策の有無は、
少なくとも責任者は知っておく必要がある。
何年保存してるんだろう (スコア:2, すばらしい洞察)
こういう情報って何年くらい保存しとくんだろう。そりゃあクレジットカード番号までセットになってる個人情報は貴重なものだろう。けれど、そういう情報が増えれば増えるほど、漏洩したときの被害件数も大きくなってしまうわけだ。
この際、n年間利用されなければ削除するというポリシーを設定するべきではないだろうか。
Re:何年保存してるんだろう (スコア:4, 興味深い)
決済が完了した取引に関するクレジットカード番号なんて、顧客側が捨てて欲しいと思うのはもちろんですが、店舗側が保存しておいてメリットになるというシチュエーションを想像出来ません。
「(半ば悪意とともに)外部へ漏洩させる」以外に、貴重な使い道というのがあるのでしょうか?
#店舗サイト側で番号を保存しておいて、次回注文時に顧客がフォーム入力しなくて良い、というのだけは思いついたけど。
Re:何年保存してるんだろう (スコア:2, 興味深い)
小売業務システムの経験者として。
そんなん全然重要でも貴重じゃないッス。決済が完了したら基本的には捨てるべき情報ですので、「残す」ということ自体がまずありえない話なのです。
Re:何年保存してるんだろう (スコア:1, 興味深い)
かぐ検索できる状態で1年以上は保管されてることがあります
大手某社が納入してるシステムでは電子ジャーナル閲覧時にパスワード要求がありますが
データ自体がプレーンテキスト(しかもファイル名は日付.txt)で保存されているため
端末にアクセスさえできればカード会社・番号・有効期限、購入日など簡単に収集できます
このシステムだけでは購入者名と直接結びつきませんが納入された側の端末によっては
それも可能になる場合もあるかと想います。。。
Re:何年保存してるんだろう (スコア:1)
nヶ月利用されなければ削除とかのほうがよいかと。
お願い、もうどこでもいいから突っ込んで! (スコア:1)
Re:お願い、もうどこでもいいから突っ込んで! (スコア:1)
その方面の人でないので、よくわからんが入力のことが
言いたいのかなと思ったり。
つまり、SQLインジェクションを揶揄してるのでは?
Minder
Re:お願い、もうどこでもいいから突っ込んで! (スコア:0)
あ、でも、あらゆる入力フォームがDBクエリにそのまま代入されてたら「どこでも」だな。
Re:お願い、もうどこでもいいから突っ込んで! (スコア:1)
荒しはないよなと思ったもんで、野暮な解説してしまいまた。
もで、変わりましたね。
Minder
Re:お願い、もうどこでもいいから突っ込んで! (スコア:0)
分かってはいたんですが、役に立たないし面白いわけでもないから、いらないなーと。
字面では「余計なもの」が近い感覚です。
うーん、反動で+1になっている…
#モデがキャンセルされてしまうのでAC
Re:お願い、もうどこでもいいから突っ込んで! (スコア:1)
そういう人もいるんだな・・・
いや、擁護した立場なんで、私の立場を明確にします。
もし、私がモデしたら、おもしろおかしいをつけています。
おもしろおかしいは役に立つかどうかなんて問題外です。
以上、私の考えでした。もちろん、違う考えの人を排除する気はありません。
だから、最初はモデに触れなかったのですが、書いた人から返信あるとも思ってなかったので^^(多分そうですよね)
あれ?ACでかいても、キャンセルって言われません?IDではいって、ACで書こうとするからかな。
Minder
Re:お願い、もうどこでもいいから突っ込んで! (スコア:0)
会員登録してない人の情報はどうなってる? (スコア:0)
そのとき、会員登録はしなかったのですが、個人情報がまだ保存されているのかどうか気になります。
まぁ、そうなんだろな... (スコア:0)
なんでメールアカウントの作成で「氏名(漢字)@ドメイン名」なんて入力でそのまま作れるんだよ...
仕様書ウンヌンの前の話だろよ... orz
「Webシステム開発会社」もしくは「Webプログラマ」なんてそんなモンゴロゴロなんだろね... この手の不正アクセス事件がなんでこんなに多いのか不思議に思っていたけど、完全に理解できた気がするよ。
Re:まぁ、そうなんだろな... (スコア:0)
丸投げを丸投げしといて偉そうに嘆かれてもねぇ……
その某ISPとやらに対する責任は貴方のとこにあるんだろ?
契約内容にもよるけど、貴方んとこも外注をキッチリ監督しないと信用問題になるんじゃ?
それに、仕事の中身だって、相手によるし値段相応って言葉もあるからね。
あんまり安い値段でコキ使ってるとしたら、自業自得だよ。
Re:まぁ、そうなんだろな... (スコア:0)
>仕様書ウンヌンの前の話だろよ... orz
そりゃ、仕様書に記述されなきゃ許可されちゃうんじゃ?
「当たり前」と思い込みで作ったら逆にやり直しでしょう?
外注企業が質問書を投げてこなかったのもアレでしょうけど。
この業界、マトリョーシカみたく丸投げされてるから、隙の無い仕様書渡さないと再構築するハメになると思います。
きっと、その調子だと
1.なんかSSL対応や再配置しにくい(というか、ファイルの配置がメタメタ)
2.ファイル名に恥ずかしい間違いが(Rinkとか)
3.アドレスバー非表示。勝手にリサイズ。ポップアップもでまくり!
4.妙にページ/機構によって品質にバラツキがある気がする・・・
(以下略)
みたいな事になりそうですね。
# なんか、しなくても良いデスマーチを生み出してる現場を見た気がする。
# 過去にそんな事があったのでAC
違いは何? (スコア:0)
基本的な対策を施していないスカイソフトに対する批判多し。
(被害者)スカイソフト擁護の意見は皆無。
事例2 半裸状態(へそ出し、見せブラ、見せパン)の女性が盗撮 or 強姦された
「被害者に落ち度はない」という被害者擁護の声多数。
この事例は架空ですが、現実的にありえない話ではない。
事例1と事例2とで、何が違うから叩かれる被害者と擁護される被害者に分かれるのでしょうか?
Re:違いは何? (スコア:1)
本当の被害者は個人情報の流失してしまった顧客でしょう。
2は完全な被害者です。責められるいわれはありません。
#2のような例を持ち出して、その被害者を責める気持ちが(おそらく少しでも)あるのが分からない。
#海外はともかく少なくとも日本では。
Re:違いは何? (スコア:0)
> #2のような例を持ち出して、その被害者を責める気持ちが(おそらく少しでも)あるのが分からない。
こういう風に真意をねじまげるのがスラドクォリテイ?
その逆で、#1の被害者を叩く気持ちがわかんないわけで。
普通に考えれば、情報を流出された方が"本当の"被害者だとすれば、加害者はSQLインジェクション攻撃をしたものであり、
欠陥Webアプリを放置したものは、責任はあれど加害者呼ばわりするのは、(名誉毀損かどうかはわからんが)人としてどうよ、
と思います。
世の中から情報流出につながるような欠陥アプリはなくなってほしいですが、
攻撃をされたものを「被害者だが加害者」と責めるのはお門違いじゃないでしょうか。
なんか最近いきすぎてない?
Re:違いは何? (スコア:1, 興味深い)
特にカード番号とかって金銭被害に直結するわけだし。
それに、個人情報保護法案が出てから良くも悪くもかなり敏感になってると思います。
そして、このサイトにいるのはそういう対策をして当たり前と考えてるユーザーが多いわけで。
「お前ら(被害者)はそんな(自分たちにとっては)当たり前の事をしてないんだ?」と呆れてるのでは?
# フレームの元か荒らしモデだな・・・コレ
Re:違いは何? (スコア:0)
あきれるくらいならいいでしょうけど、
もうみんな分かってて入られるまで放置してるんじゃないかと思えてきた。
「(半ば悪意とともに)外部へ漏洩させる」以外に、貴重な使い道というのがあるのでしょうか?
なんてコメントを見てると、「叩けるから叩く」という意図がすけすけ。
Re:違いは何? (スコア:1)
事例2についてもっと詳しく(出来れば画像つきで)説明してみてください。
Re:違いは何? (スコア:0)
こういう下司な輩しかいないのか!
Re:違いは何? (スコア:0)
Re:違いは何? (スコア:0)