2009年12月20日() << 前の日記 | 次の日記 >>
これまでの12月20日 編集

■1 セブンネットショッピング、「デモ用ソースコード」が流出、XSS脆弱性も 「個人情報流出はない」[http://www.itmedia.co.jp/news/articles/0912/18/news100.html][セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

信じられない価格とサービスで連日大賑わいの セブンネットショッピング[http://www.7netshopping.jp/all/] だが、今度は「デモ用」ソースコードが流出するという騒ぎが起きていた。
広報担当者によると、
流出したのは 「検証で使っていたデモ用コードで、本番用のものではない」。個人情報流出の可能性もないとしている。
デモ用のソースコードが公開サーバに置いてあり、誰でもアクセスできる状態になっていた。同社は12月17日午前、ソースコードに外部からアクセスがあったことに気付き、すぐに公開サーバから削除。 「データベース等非公開サーバに侵入されたわけではなく、個人情報流出の危険はない」としている。
ということであり、記事タイトルでかぎ括弧を付されている「個人情報流出はない」は、セブン&アイグループの主張による様だ。
「デモ用のコードが漏れたら、個人情報が漏れるのか」ということに関して、本来は全く関係の無いことで、ソースコードが漏れても安全に作られていなければならないのが原理原則だ。
ただ、今回の一連の騒動を見ていると、このシステム全体の実装方針として、安全性が極めて杜撰に扱われているように思える。だとすると、「ソースコードを公開しても大丈夫」という原理原則さえも保たれているかどうかがあやしい。
「デモ用」のコードが、本番用と全く別物として作られていれば話は別だが、本番のスキーマやセッション管理手法、実装に共通する弱点等、攻撃者が必要とする情報の多くはデモ用のコードで手に入るに違いない。そもそも、本番系の環境にデモ用コードが残っているということが、「デモ用」と「本番用」がそれほど多くの違いを持たないことを示唆している。
そもそも、デモ用のコードが閲覧可能な状態で放置されていたという事実が、運用環境の構成要素を管理できていないということを証明していて、実装だけでなく運用も極めて杜撰であると言うことを物語っている。
「データベース等非公開サーバに侵入されたわけではなく、個人情報流出の危険はない」と言うのは正気で言っているのだろうか。侵入されなければ個人情報が流出しないのだったら、SQLインジェクションやXSS対策の苦労は要らない。
実装から運用、そして釈明を見ていると、この一連の事件、起きるべくして起きた気がする。誰も止める人はいなかったのだろうか。

セブン&アイ・ホールディングスCIO[http://itpro.nikkeibp.co.jp/article/JIREI/20070425/269448/]:

セブン&アイ・ホールディングスのCIO[http://www.7andi.com/company/officer.html] は佐藤政行氏で、CIOとしては有名な方だ。 こういう杜撰なシステムが世に出てしまうパターンとしては、「トップがダメ」というのが最も良くあるパターンで、そうでなければさすがにどこかで「ちょっと待て」ということになるものなのだけど、どうもそう単純なものでは無いようだ。
セブン&アイで何が起きているのだろう。

■ 関連記事

■2 続・環境整備[http://www.nantoka.com/~kei/diary/?20091219S2]<< 前の記事 このエントリーをはてなブックマークに追加

VSTS2008インストール中。
isoファイルが、4.38GB(1K=1024)超えていて、片面1層のDVDには入らないので、 Virtual CD-ROM Control Panel for Windows XP[http://download.microsoft.com/download/7/b/6/7b6abd84-7841-4978-96f5-bd58df02efa2/winxpvirtualcdcontrolpanel_21.exe] でマウント。 英語版では片面1層に入っていたのだけど、日本語版では超えてしまったらしい。

■ 関連記事

今日のつぶやき

  • @popona メールです。ちなみに私はメールアドレスを公開しているので、Twitterのアカウントでメールアドレスを調べるのは難しくありません。2009-12-20 12:53:58 Echofon popona宛て
  • 民主党から着たのは本当だけどWebフォーム使って誰かがいたずらしたんだよね?中のヒトじゃないよね? RT: @keikuma: 民主党の批判ばっかりつぶやいてたら、民主党からメール着た http://www.nantoka.com/~kei/diary/?20091219S32009-12-20 13:37:13 Echofon
  • いたずらしたヒトは名乗り出ること!万が一、中のヒトだったら、警告を無視したことになるよなぁ…2009-12-20 13:38:30 Echofon
  • ある方のblog経由で。普通のスケジュール帳に普通の付箋で長年やってきたToDo管理がおしゃれになってた。 http://www.10-min.net/index.html2009-12-20 19:03:53 Echofon
  • 「文字数が少なくてすぐに読み終わっちゃうので、普段あまり本を読まない人にオススメです。 」w2009-12-20 19:06:03 Echofon
  • ホリエモンじゃない方の「民主党メール事件」を検証して下さった方が。まぁ間違いないでしょうね。 http://koshiplay.com/index.php?id=5782009-12-20 20:12:30 Echofon
  • 特集を組むにあたって、実際に使ってみるのは感心。特集が出た後が問われるけども。2009-12-20 22:36:16 Echofon
  • そのあたりどう変化していくか、ぜひ誌面で。 RT: @diamondweekly: ヤマモト、シミズにも「つぶやけや」とケータイで連絡するあたりが、この特集チームの弱点かもしれません(笑)。2009-12-20 22:38:42 Echofon
  • 娘の幼稚園には毎年、この時期にはサンタさんが来るのだそうだけど、なんか本物かどうかあやしいサンタさんらしい。園長先生がいないのもあやしいらしい。今年は明日だそうだ。2009-12-20 23:26:42 Echofon
以上、1 日分です。

指定日の日記を表示

前月 2009年12月 翌月
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project