orangeitems’s diary

クラウド専任の40代インフラエンジニアが書くブログ。新規事業マネージャー。20世紀末の就職氷河期スタート時にIT業界に文系未経験で入りこみそのまま生き残った人。

ECサイトから個人情報漏洩が起こるルートについて

 

たま~に、〇〇ECサイトにてxx万件の情報漏洩、というニュースが起こるわけですが、なんでこんなことが起こるか、一般の方は不思議でたまらないと思います。

もし、第三者のアカウントを知ったからといって、それでログインしたとしても、マイページを見て情報取得。それでも1件にしか過ぎないわけですよね。

それが何万件って、どうやって入手するんだろうって。

方法は、何といってもECサイトが持つデータベースへのアクセスです。ユーザー一覧テーブルを持たないサイトなんてないわけですから。

でも、どうやってアクセスするんだと。そんなアクセスが成り立つならECサイトとして破綻してるじゃないか。そう、破綻してるんです。

一つは、システムが動いているサーバー自体に、リモートでログインし操作するケース。サーバー自体はデータベースへのアクセス権限を持ちます。rootやadministratorのような、管理者権限を入手しないとサーバーの中身は見れないとおっしゃいますが、たいていのサーバーが、読み取り権限はつけているケースが多く、データベースの接続情報が読めちゃうことは多いです。どうやってリモートで入り込むか。それは運営会社のLANに、ランサムウェア経由で入り込み、そこから運用管理者のPCをのぞかれ、データを抜き去るパターンはよく聞きますよ。

もしくは、ECサイトを構成するWebアプリケーションに、脆弱なコードが存在するケース。WEBブラウザから受け取った情報からSQLに翻訳し、データを受け取る仕組みなのが、そのWEBブラウザの情報を攻撃者がわざと変更し、他人のデータを大量に受け取るような攻撃パターン。

または、アプリケーションには脆弱性がなくても、ミドルウェアに脆弱性があるパターン。ミドルウェアの脆弱性をついて、コマンドをサーバー上で実行させるような攻撃は今もって主流です。

あと、社内によからぬ人がいて、データを抜いて売っちゃうってパターンも過去ありましたね。

インフラにもアプリケーションにも、そして社内情報システムにも、そして人間にも攻撃ポイントはあり全方向で気を付けてないと、あっという間にデータを抜かれてしまうのが怖いところです。

自社ECなんて表現のときに、これも2つの運営ケースがあります。

①完全内製で自社構築、運用

②ECサイト構築・運営代行にお任せするケース

昔は①もあったんですが、あまりにも運営に高度な知識が必要なので、②を利用するケースが大半になりました。

攻撃を受けず、平和に運用するってのは、大変ですからねえ。

ただ、DXに目覚めた、キャッシュが大量にある企業は、①を目指し会社を作ってシステムエンジニアを募集し、内製するぞーと息巻いているところもあります。

ってな感じで、なかなかECサイト、ちゃんと運営するのってめちゃくちゃ大変で、お金もかかります。覚悟がないうちは、自社ECより、モール型EC(Amazonとか楽天とかBASEとかあのあたり)を使う方が無難だと思いますがね・・。