カラーミーショップ 情報流出す
生意気だけど、何故かニクメナイ漬物屋の三代目とクサレエンがある。
商売にひたむきな所はつい応援したくなり、ウェブに疎い彼の為にサイトの作成・助言をしてやるようになって五年程経つ。
朝方いきなり電話があったから驚いたのは、普段メールでのやりとりがほとんどだからだ。
開口一番、猪みたいにフガフガ言いながら発したのは「情報流出したって!?!」という言葉だった。
詳しく聞けば、利用しているカラーミーショップの運営から今朝メールが届いており、タイトルには
重要:オーナー様のクレジットカード情報流出に関するお詫び
とあり、文面は
2018年1月7日、カラーミーショップにおいて第三者による不正アクセスが確認され、一部のショップオーナー様のクレジットカード情報が流出した可能性があることが判明いたしました。
と書かれていると、震える声で彼は読み上げた。
すぐ公式サイトに行くと、たしかにそう記されている。
事の経緯を読むと、不正アクセスを確認できたのは1月7日とある。 それを26日の今日になって発表するのはどうかと思いながらさらに読み進みつつ、彼にカラーミーへログインしてみるよう促したら、
管理画面上部にオーナーの個人情報とクレジットカード情報が流出した可能性がある、と書かれていると狼狽している。 幸い顧客の情報は何一つ流出していないらしい。
そういえば何日か前に彼から連絡があり、このシステムのパスワード変更手続きのやり方を教えた事を思い出した。 なんでも運営から22日までに変更するよう催促されたとかで。 ん、不正アクセスがあったのは7日だよな。
だからパスワードの変更は、不正アクセス後だった事がわかる。 さらにお知らせ一覧を見ると、
1月10日に緊急メンテナンスを行っており、1月18日にログインパスワードの仕様を変更をしている。 何々、
そもそもパスワードの変更を促すメールが19日に届き、その期限が22日だとか焦りすぎだし何かあったのだという事は時系列に見ていけば一目瞭然である。
しかもそれまでに変更しなかった場合は、カラーミーショップ側でパスワードをリセットするとある。 運営も必死だったワケか。
なぜ発生から時間を経ての公表となったのか?
FAQにこうある。
被害範囲や情報が特定できない段階ではかえってオーナー様および関係者に不安や混乱を与えると判断し、情報が特定できた段階で公表させていただきました。
また、クレジットカード情報流出の可能性があったため、各クレジットカード会社に情報を提供し、不正利用がないように監視強化の依頼を行なっておりました。
なるほど。 又、不正アクセスはカラーミーだけであり、GMOペパボの運営する他のサービスは問題ないとの事。
まとめ
ウェブサービスを運営する以上、常に不正アクセスに関しては気を配らねばならない所であり、昨今はサイト全体の「https化」が促されているように、情報漏えいには企業、個人とも気を配らねばならないのは当然の事として、今回カラーミーで気になったのがここだ。
現在は改善されているが、管理者がパスワードの本来小文字である部分を、ログイン時に大文字で入力した場合、プログラム側で自動的に小文字に変換してログインを補助していた、と。
こういう事をするから管理者のセキュリティ意識の低下を招き又、不正アクセスの一助となるのではなかろうかと思う。 パスワードに使う事のできる文字列も少なすぎた(ちなみに今回の不正アクセスは各ログインページからではなくそのルーツへのもの)。
彼はカード会社に不正利用の痕跡がないかを電話で確認したそうだ。 今のところ、不自然な決済は見当たらないという。
