リデア株式会社様のカード情報流出事件に関して
すいません。ちょっと長文です。でも、大事な内容かと思いますので、ご了承ください。
11月11日にリデア株式会社よりクレジットカード情報が流出したという報道及びリデア株式会社様のサイトに謝罪文が掲載されました。ニュース内容に関しては、以下を参考に御覧ください。
ここ数日、当方で色々な情報を集めては見たのですが、なかなか情報が集まらず、現状分かっている情報の範囲での情報共有を皆様にさせて頂ければと思います。
まず、リデア株式会社様に記載されております以下の内容です。
「・不正侵入原因:
SQLインジェクション攻撃によるWordPressのアカウント情報の不正取得。」
多くの人がこれのある程度の詳細な情報を開示して欲しいと思う部分かと思います。ちなみに私はすごく知りたいです。
開発者の方であれば分かるかと思うのですが、SQLインジェクション攻撃にさらされた場所が何処なのかによって、一般的なWordPressの信頼性の問題内容が変わってきます。以下の3つのパターンにわかれると思います。あくまで個人的見解ですので、その点はご了承ください。
1.リデア株式会社様のシステム管理体制が問題の場合
独自開発したプラグインにおけるSQLインジェクションへの対応が不適切だったために、不正取得されたというのであれば、リデア株式会社様の管理体制が原因だと言えると思います。また、WordPressのバージョンをアップせずに古いバージョンを使っていた場合などもシステム管理体制に問題があるといえると思います。
2.WordPress側にも若干問題があるかもの場合
SQLインジェクションということなので、サーバー側の問題ではなくWEBアプリケーションの問題である可能性がほぼほぼ確定されていると思われます。そのため、コア、テーマもしくはプラグインからの不正取得である可能性は非常に高いのですが、これが公式プラグイン等(WordPress公式の何か)が原因で不正アクセスがあった場合は、WordPress側もプラグインの管理をもうちょっと頑張った方が良いのかなと思ったりもします。ただ、公式プラグインもあくまで利用者の責任の下、使われるべきなので、私の意見としては、リデア株式会社の管理体制が悪いんだけど、今後のWordPressを考える時に少し考えないとねという状況だと思います。
3.WordPress側に問題がある場合
これは、多分無いと思いますし、無いと祈りたい部分でもあるのですが、WordPressの最新版を使っていて、テーマやプラグインも特に問題なく作成されていて、今回の問題が起こっている場合です。いわゆる、現時点での最新版でのコアに問題がある場合です。これは、正直、WordPressとしては、大きな問題になる可能性があります。
ただ、セキュリティー問題は常にWEB業界では重要視すべき課題の一つですので、常に改善されていく内容だと思います。
現在の開示されている情報では、どれに当たるのかが分からない状態です。
ただ、今回の事件において問題なのは以下にあると思います。
流出した情報:カード番号、有効期限、セキュリティコード
一般のユーザーの方は分からないと思いますが、これはECシステム開発をする上では、ちょっとありえない話です。
何かと申しますと、現状のECシステム開発において、個人情報やセキュリティーの関係で、自社のデータベースに具体的なカード情報(特にカード番号、有効期限、セキュリティコード)をもたせるという事はしないというか、してはいけない内容となります。つまり、セキュリティーを考慮したECシステムであればWordPressに関わらず、カード情報をユーザーデータベースに残すということはあまりありえません。
正直、ワンクリック購入など、ユーザーの利便性を持たせるために、データベース上にカード情報を残すという話が無いわけではないです。ですが、現在多くの決済代行サービス会社様がユーザーID等で決済代行サービス会社様がカード情報を把握して、運営者側には情報を持たせない形でワンクリック購入が出来るようにAPI等が発行されています。それで、そのようなサービスは構築することが出来ます。
リデア株式会社様が何故このようなシステムを採用しなかったのかは、リデア株式会社様のセキュリティーに対する認識が甘かったと言わざるを得ないと思います。もしかしたら、他の原因かもしれませんが、今掲載されている情報だけを見ると、そのように受け取ってしまいます。しかも、カード情報をWordPressのアカウント情報に連携させていたと。
ちなみに、当方の作成しているWooCommerceのクレジットカード決済システムでは、カード情報をユーザーデータベースに残すという仕様にはなっておりません。その点は、ご安心頂ければと思います。
ただ、今回の事件は職人工房、引いてはWordPressの会員機能を利用している構築業者としては対岸の火事として傍観するべき問題ではなく、自身の問題と認識して対応をしていきたいと思っております。その為、把握できた情報で、かつ公開しても良いと判断できた情報(真偽の確認が取れたもの)に関しては、今後もサイト上で共有していきたいと思っております。
あと、本当に個人的な意見なのですが、株式会社リデア様の発表の仕方に疑問を感じてしまう部分があります。
「不正侵入原因」の書き方です。もちろん、先に書きました3の場合であれば、そう書かれてもしょうがないかなと思う部分もあるのですが、一般の方が見たら、「WordPressのサイトで個人情報が流出したんだ!WordPressってセキュリティーが甘いんだ」と殆どの人が思ってしまうのではないかと思うです。そもそもがカード情報をWordPressのアカウント情報に残す時点で問題(確定しているわけではないですが)があるのにです。まあ、ユーザーデータベース上に保存していないかもしれませんが、少なくともWordPressのユーザーデータベースを把握できたらカード情報が閲覧出来たというのであれば、問題があります。
株式会社リデア様が意図して、根本的な原因が自社にあることを認識しているのに、今回のカード情報流出をWordPressのせいにしようとして、書かれていないと思いたいです。ですが、そう疑われても仕方のない記載方法にWordPressコミュニティに属している者として、ちょっとカチンと来てしまいます。出来れば修正、もしくはもう少し詳細な情報を公開して欲しいものです。
WordPressコミュニティとして意見書を送っても良いんじゃないかなと思ったりもします。
長くなりましたが、情報共有も含めて書かせていただきました。ご理解の程、よろしくお願い致します。
後日談(11月26日追記)
この投稿を書いた後に株式会社リデア様に問い合わせフォームがあったのでメールしたのですが、やはりというかお返事来ませんでした。
ちょっと残念です。まあ、それどころではなく忙しかったのでしょうけど。
その後ほうぼうから情報を頂きまして大枠の今回の流出状況が見えてきました。
あまり明確に書くと良くないので、書きませんが、サーバーのベーシック認証が破られた辺りから問題があるようで、どのようにベーシック認証をかけていたかなどによりますが、断片的な情報を把握しただけですが、単純な外部からの攻撃等だけで今回の流出が起こったのではないのではないかという感じでした。ここから先は警察のお仕事ですので、外野は余計なことをあまり言わないほうがいいと思いますので、これぐらいにしておきますが、集めた情報の結果として、サーバー管理をしっかりしていて、WordPressを最新版で管理していれば起こらなかったであろう問題だったようです。開発した会社の全体的なセキュリティー対策が微妙だったようです。
あくまで、私がかき集めた情報での結果ですので、100%保証できないことはご了承下さい。
まあ、サーバー管理からしっかりして、WordPressはバージョンを最新版にしておくというのが必要ですね。基本として。
Follow me!
