某ネットバンクでのお話
某所で、お金を大量に扱う、WEBアプリに関する開発案件が有ると
聞いたので、出向いてみたところ・・・。下記の様なやりとりをし
ました。
まぁ、知らない人ってのは、こんなものなのかもしれない。
- このシステムで取り扱う物は?
- 主に、顧客の預金に関するやりとりです。
- てことは、有る程度セキュリティは、考えてますよね?
- 当然です。最低限、私たちに非が有るような状況は避けないと。
- まぁ、それはそうでしょうけど。
- 具体的には?
- SSLを用いて、顧客との通信を暗号化する。
- ほかには?
- そのほか、何が必要だというのだ?
- SQLインジェクションに対するサニタイジングは?
- SQL?インジェクション?何だねそれは。
- まぁ、簡単に申しますと、外から他人の口座をハックして、情報を取り出すことです。
- この情報には、「預金残高」も含まれてます。
- そんなこと、本気で出来ると思ってるのかね?
- そもそも、そんなことができるなんて話は聞いたことがないぞ。
- えっと、念のために確認しますが、この会議ってのは、○○のシステムリプレースですよね?
- そうだが?
- 現状のシステムでは、その様な事は無かったと言うことでしょうか?
- きみぃ、馬鹿にして貰っては困るよ。今までログを監査していたが、今までその様な事は無かったぞ
- はぁ、じゃ、試しにやってみましょうか。
ここで、現行システムの実験環境をプロジェクタで大写しにしてもらう
- まずですね、ソースを見ましょうか
- ここにですね、xxxxxがありますよね、これをxxxxxxxxに変えてローカルに保存します
- 次に、このローカルに保存したファイルを開きまして・・・・
- ここで、このように・・・・・・
実作業については、以下略
- と、この様にしますと、他人の口座を見ることが出来ました。
- この状況に至までのログを追いかけてもらえますか?
- ログには何も残ってない・・・・
- この様に、ログに残さないように他人の口座から預金を引き出すことも、
- 振り込むことも出来る訳ですが、、、これでもこの様な対策をする必要はないと?
- きみねぇ、、こんな事が出来るという、実験は解った。
- しかし、これが現実に起きているという確証はない。
- 君のような事をする者が他に居るとでも言うのか?
- 少なくとも、数年前には無かった事例ではありますが、情報の改ざん、情報漏洩などの問題の1要素にはなっているとおもいますが。
- 君の言い分はよくわかった、しかしながら、入られるかもしれないと言った、アバウトな状況だけでシステムを作り変える必要は無いんじゃないか?
- では、今後この様な状況に陥らないと?
- 陥るも何も、今までこの様な事は無かったし、ログにも記録されていない。
- ですから、先ほど私の行った実験でも、ログを残さずに他人の口座を見ることが出来ました。
- それでも、過去に発生していないと?
- そらまぁ、原理的には可能なんだろうけど、ねぇ・・・・
- では、今後この対策は行われないと?
- ま、そうなるかね?
えっと、んーと、この会社の作ってきた銀行から預金を引き上げる事
にしました。ええ。怖すぎです。