セキュリティとか

開発課

2月1日の午後、osushiというサービスが立ち上がったのですが、

開始されておよそ6時間でメンテナンス中に追い込まれました。

サイトに対して課金された料金の返金はすべてされたようですが、今現在もメンテナンス中(サービス停止中)です。

osushi公式サイト

もともとtwitterで話にあがっていたサービスなので、

悪いことを考える人達(ふつうのエンジニア)からの攻撃は

非常に盛り上がって(?)いきました。

そのサイトには基本的なセキュリティ対策が施されておらず、自分のユーザー情報だけでなく他人のユーザー情報も書き換えられてしまうような、非常に脆弱な作りとなっていたようです。

一連の流れはまとめサイトに上がっています。

まとめサイト

サービスのソースコードやサーバのディレクトリも見れてしまうような状況で、ここまでセキュリティがゆるいサービスはなかなかないと思います。

法律的な問題もあったようですが、このあたりどうなったのかは不明です。

なぜpaymoやKyashやpolcaがよくて、Osushiが法律的にアウトなのか?PayPalも諦めた日本の「送金」事情。

幾つかのニュースサイトにも取り上げられていたので、だんまりはできないでしょう。

ニュース記事

セキュリティの問題はしばらく前のcoincheck社が攻撃された事件でも話題になりましたが、あれはあれでcoincheck社のインフラ面のセキュリティ対策不足ももちろんありますが、すべての仮想通貨が異なる仕組みで動いていて、APIの使い方を熟知しているエンジニアが市場に不足しているといった点、扱う複数の仮想通貨の中でNEMが選択された理由など、複数の側面を持っていて、そうそう単純な話でもありません。

ですが問題は問題です。

開発するプログラム言語やフレームワークによっては、あまり意識せずともセキュリティが担保されるものもあります。

開発に関わる人であれば、例えばどんな攻撃手段があるかどうかなどは知識として持っていても損はないと思います。

このあたり、どこかで教わることもないのですが、インターネットが始まったころからあるものなので、IPA(情報処理技術者試験をやってるところ)にも初心者向けのページがあります。

知っていますか?脆弱性

対処方法は開発している言語などによっても違うのですが、ググればいろいろでてきます。

セキュリティ対策というものは、仕事で知る機会も実際にそういう場面がないと少ないものです。

エンジニアの仕事には少なからず関わりのあることなので、理解しておきたいですね。

でも、攻撃はしちゃあいけません。

▼ ほどよくテクってる 関連記事