閉鎖してから未だに再開しない丸井今井のウェブショップですが、インフルエンザの熱でうなされている間に思いついて調べた事、そして、そこから導き出された仮説がありますので紹介したいと思います。
ちょこまかと寝ながら検索した結果、こんなのが出て来ました。
EC-MARKSというところが構築したようで、オープンソースのECソフトウェアであるosCommerceを使って構築された模様です。 で、早速詳細を見てみようとリンクをタップすると...
リダイレクトされて、お詫びの画面が出ます。 実は、Googleのキャッシュには残っているので、例の事件を受けてサイトを閉鎖したものと思われます。 www.marksnet.co.jpから会社概要を辿ると...
株式会社マークスという東京の会社が出て来ました。 この会社が構築した模様です。 対応なども、この会社が行っているのでしょうか? まぁ、そんな事はたいした問題ではないので、次に進みます。 次からは仮説の話になります。
さて、osCommerceというソフトウェアを使って構築された事まで判りました。 ちなみに、弊社ではosCommerceは使っていません。 なぜかというと、他のECソフトウェアに比べてセキュリティ的な脆弱性が出やすいという事が理由に挙げられます。 敢えて、osCommerceを選択したと言うことはそこら辺を理解した上での事だと思いますので、マメにバージョンアップもされていた事と思います。 なので、特に問題はありません。
osCommerceについて、もっと調べると興味ある情報が出て来ました。 それは、セッション情報(接続状態を管理する情報)を、一般的に行われているCookieによる方法の他に、セキュリティ上問題ありとされているURLにぶら下げる方法も設定できるのだそうです。 少なくとも、古いバージョンでは出来たそうです。
今回の現象は、「接続状態にあったお客様の情報が、検索サイトを経由して接続した場合に見えてしまう」というものでした。 実は、セッション情報など各種情報をURLのぶら下げる方法を使用すると、検索エンジンのロボットに補足される可能性がある事が判明していまして、第三者が他者の情報を閲覧可能な状態に置かれる例は、昔から指摘されています。 悪意のある第三者が管理者の権限で接続してしまい、大量の個人情報を抜き出した事例もあります。
実は、今回の公開質問状を出したときには「当然、Cookieを使ってセッション管理をしているだろう」と思い込んでいました。 それであれば、今回の事例のように検索サイト経由で第三者が他者の情報を閲覧できる事は、少なくとも自分の記憶では難しいのではないかと思っていました。 前提が変われば、もちろん結論も変わります。
そこで、色々検索してみると出て来ましたよ。
なんと、セッションIDがURLにぶら下がって居るではないですか! これならば、充分ありうる話です。 たまたま、今回の事件が発覚するまでは、第三者がアクセスした際にはセッションが閉じられていたから気が付かなかったのでしょう。 今回、偶然にもセッションが閉じられていない状態だったので、他者の情報が閲覧できてしまったと。
ならば、解決は簡単。 セッション管理をCookieのみを使う方法に変更すれば良いだけです。 ただ、ソフトウェアのバージョンが古すぎたのだとすれば他の脆弱性も多数ありますので、最新バージョンへのアップデートが必要になります。 場合によっては、画面デザインのやり直しも必要になるでしょう。 だから、時間がかかっているのであれば納得ですが、問題点に気が付いていないのであれば痛い話です。
いずれにしても、長期間に渡ってECサイトを閉じるのは得策ではありません。 早急な復旧が望まれるところです。
投稿者プロフィール
最新の投稿
- お知らせ2024/10/02臨時休業のお知らせ
- 情報システム関連2024/08/07「中小企業の情報システム担当者不足をどう解決する?」ウェビナー動画公開
- お知らせ2024/07/29夏季休業のお知らせ
- お知らせ2024/07/16情報セキュリティメールマガジン7月号発行中止のお知らせ