今週はセキュリティに関するニュースが多い一週間でしたね。
それぞれのニュースについてさらっておきます。
「ワクチン予約システム」の不正予約
まずワクチン予約システムについてですが、記事に書かれているようにワクチン予約システムはセキュリティ上の欠陥があったのか定かではありません。
恐らくはスピード重視で構築したがゆえに制作側から見るとイケてないと感じる予約システムが話題になっていたようです。
ネット上ではSQLインジェクションでデータを不正操作できるとも言われていましたが、架空の番号で予約ができるというだけで接種会場では本人確認書類や接種券を見せないと接種ができないため、普通に予約される方は安心してご利用頂いてよいかと思います。
それにしても架空の番号で予約するイタズラ行為はやめたほうがいいですね。
罪には問われなくてもムダなデータが蓄積される事で保守費が増えることにつながりかねません。
岸大臣は「対応可能な範囲で改修を検討する」と仰ってますが、不具合がなければ必要ないハズですからね。
「Omiai」に不正アクセス
マッチングアプリを手掛けるネットマーケティング社が不正アクセスを受け約171万件の会員データが流出した可能性があるとの事。
現時点では詳細は明らかにされておらず、本人確認書類としてアップロードした画像データが流出の対象ですが、驚いたのはその件数ですね。
登録ユーザーが実在するのか厳密さが求められるサービスでは、本人確認書類をスマホで撮ってアップロードするのは現代においてはスタンダードな手法です。
営利企業では売上に直結するKPIとして新規登録者数や離脱率に目が向きがちですが、セキュリティ対策も十分に検討する必要があります。
ここを怠ると企業の存続が危ぶまれるため、対岸の火事とせずセキュリティを点検するのが良いかと思います。
「メルカリ」に不正アクセス
コードカバレッジツール「Codecov」が不正アクセスを起点に顧客情報、加盟店情報など約28000件が流出。
ソースコードのバージョン管理ツール「GitHub」に侵入されてしまったようです。
「Omiai」を展開するネットマーケティング社もそうでしたが、記事に書かれているように外部の専門家と協力して、セキュリティを強化していくという姿勢は課題と真摯に向き合っていると感じました。
メルカリの件、セキュリティと効率化のバランスの取り方は俗人的になりがちなのが根本的な課題なのよね・・
— アオキ@テクニカルディレクター (@ryoaokijp) 2021年5月22日
先日このようにツイートしましたが、セキュリティ対策はその時々の現場にいるエンジニアがいかに「鼻が利くか」にかかっているように思います。
耳が痛いことを言われるかもしれませんが、外部の専門家が入ることで現場はノウハウを得られる事になりますし、企業の理屈に左右されない客観的な意見を頂戴するのは社会に価値を提供するデベロッパーとして非常に大切な事だと思うんですよね。