NW屋的日常徒然日記

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

OsushiやらOpenSSLやら…

 こんばんは。一昨日からセキュリティ月間になりましたねぇ。政府としても、菅官房長官がコメントされていた動画がアップされていました。

 Osushi大炎上!

 で、このタイミングでOsushiが見事なまでに炎上してますね。ITmediaビジネスオンラインの記事からです。

http://www.itmedia.co.jp/business/articles/1802/02/news086.html

 セキュリティ的にもガバガバだったようです。クレジットカード情報がユーザの同意なく勝手に記録されるとか、ユーザ間の送金機能を無許可でやっていいのかというような指摘があったようです。

 いやぁ、コインチェックにしても「セキュリティ対策が甘かった」「セキュリティ人材がいなかった」とか、いろいろな言い訳が聞こえてきていました。「とにかくサービス開始最優先」「セキュリティは儲からないから後回し!」のような潜在意識があったんじゃないかと推察します。何というんでしょうか、最悪の事態は想定せずに、自分たちにとって都合のいいことしか考えずに突っ走った結果なんじゃないだろうかと思えてきています。

 ガバガバな状態で世に出すのはあまりにも危険だというお話

 で、Osushiですが、セキュリティ面のガバガバさを突かれて、好き放題おもちゃにされている様子がこちらです。Togetterからです。

投げ銭サービス「Osushi」、サービス開始するやいなやオモチャにされてしまう - Togetter

 退会用のページがないとか、二重決済が起きていたりとか、特殊記号がそのまま使えてしまうとか、他人のIDと同じIDに出来てしまったりするというとんでもない代物だったようです。

 あまりにも見切り発車感が強過ぎますよね。「仮に不具合があっても、気づいた時点で手直ししていけば大丈夫」と、楽観的過ぎますよね…。みんながみんな味方ではない、いや、むしろ敵だと考えるぐらいの意識でテストを重ねて、問題ないと判断した時点でリリースすべきだったんでしょうね。

 と、お金を扱うサービスにしては、いろいろ問題ありでしたよね。技術的な話よりも法律面的な部分で。上の記事にもありましたが、資金決済法に抵触しているんじゃないかという指摘もありました。何かを売ってユーザから代金を回収するのはセーフでしょうが、ユーザ間の資金移動が発生するとなると、アウトの可能性もありそうですよね。(調べてみる必要がありそうです)

 OpenSSLに関する脆弱性等が3点出てました

 お話は変わって、OpenSSLです。

JVNVU#92830136: OpenSSL に複数の脆弱性

JVNVU#92930223: OpenSSL に複数の脆弱性

JVNVU#90017300: OpenSSL にサービス運用妨害 (DoS) の脆弱性

 こちらは、OpenSSL 1.1.0e(最新バージョン)に至急アップデートしておけということのようです。セキュリティ月間、気を抜けませんね。(^^;