前の幼稚園のイベントで撮られた写真を購入するにあたり、
Webで限定公開されているサイトを見たところ、
セキュリティが低すぎて買う気が起きませんでした。
あなたの幼稚園で利用しているサービスのセキュリティは大丈夫?
幼稚園からイベントの時に撮った写真の購入案内と写真を申し込む封筒が届きました。
封筒にはサイトURL、ログインするIDとパスワードが記載されていました。
運動会と七夕の写真をネットで閲覧し、
写真番号を封筒に書いてお金を添えて注文する方法が書いてありました。
写真は1枚100円。
カメラのキタムラが1枚31円なので市場の3倍以上の値段を付けています。
いざサイトにアクセスすると、
やはりWeb業界で仕事をしていたので、
裏側が気になります。
サイトは何を使って画像を表示しているのか、
セキュリティ面は安全か。
もう職業病ですね(^_^;)
なぜかサイトがWordPress内にありました。
WordPressで使っているテーマのJavascriptだけ使っていました。
WordPressはWelCartを使って、
ネットで注文できるように試行錯誤した形跡がありましたが、
挫折して放置されています。
そのせいで、WordPressのバージョンが最新版ではありませんでした。
しかもWordPressとWelCartがセキュリティの脆弱性が見つかったバージョンのままで放置されています。
ログイン画面はペラペラ
ログイン画面は本当にページが見れる為の物で、
はっきりいってセキュリティの意味をなさないものでした。
ベーシック認証がかかっていません。
画像が誰にでも見られてしまう危険性がありました。
右クリック禁止
今時ない仕様。
おそらく画像を保存できないように対策したのだと思いますが、
正直Web developerを使えば一発で見えます。
そんな対策より、
セキュリティ対策の方を意識して欲しいです。
今のご時世、
画像を保存する事での減収リスクより、セキュリティリスクで商売できなくなるリスクの方が遥かに高いです。
検索機能がない
写真が1イベント5000枚くらいあるのに、写真の番号で検索すら出来ない仕様です。
写真を購入する際は、
写真番号を申込書の封筒に書くのですが、
番号だけメモをしても、
検索機能が無いため、
後からもう一度見たい時は最初から探していかないといけません。
本当にイケてない仕様。
仕方ないので、
購入する写真の直リンクをEvernoteでリスト化し、
旦那と共有して、
旦那が気に入った写真を購入することにしました。
直リンクで誰でも閲覧可能状態
画像のURLが分かれば誰でも閲覧可能になっていました。
今時なんて恐ろしい…
それもそのはず、
写真が置いてあるフォルダー先は、
ログイン画面先のフォルダーではなく、
別フォルダに存在していました。
※ログイン画面に成功した後のURLを別のブラウザで表示しても、ログイン画面に戻されます。
※画像はログイン配下のフォルダ構成には存在せず、別階層のフォルダに存在します。
【例】
ログインURL
http://example.com/aaa/○○/○○.php
画像URL
http://example.com/bbb/○○/○○/○○/○○.jpg
サーバは格安サーバ、ロリポップ
正直仕事で使うサーバではありません。
個人で使うサーバであって、会社で使うと「えっ?」と不信感を持つレベルです。
このロリポップは過去にユーザーサイトの改ざんが大量に行われた過去があり、
今後もWordPressを最新版にしていないサイトの脆弱性を狙って攻撃される可能性が高いサーバです。
一度攻撃されるとセキュリティが緩いと判断されて、
何度でも攻撃してくる可能性が高いのです。
ロリポップ WordPress大量ハッキング事件についての熊谷正寿GMO代表の対応
社長がこんな対応している会社のサーバを仕事で使うなんて信じられません。
幼稚園の子供の写真をネット上に野ざらししているのと同じです。
一度ネット上に流出した画像は回収するのが困難
これはもう何度も昔から言われてきた事ですが、
ネット上に流出した画像は回収するのが困難と言われています。
第三者が画像を保存されると、
ゾンビのように流出し続けていきます。
子供の写真を回収不可能な状態になるなんて恐ろしくありませんか?
下手したら合成されて、
児童ポルノに使われてしまう可能性だってあるんです。
発見した経緯
子供が写っている写真のリストを作って、
旦那と二人で選ぶ為に画像のURLリストを作ろうと思ったのがきっかけです。
正直8000枚の中から子供が写っている写真の番号をメモっても、
旦那は検索機能がないサイトから1から見ていかないといけません。
時間がない旦那にそんな時間はありません。
そこで、画像の直リンクリストを作りました。
そうしたら…
ログイン無しで画像が見れました。
要するに、ベーシック認証ではないんです。
ベーシック認証だったら、
ベーシック認証下にある画像もIDとパスワードを入力しないと見れなくなります。
これはどういう事かというと、
画像のURLが分かれば誰でも閲覧可能な状態にあるということです。
WelCartが脆弱性あるバージョンを使っていることもあって、
悪意ある第三者が子供の画像を流出させる可能性があります。
※既に対策を取られた新しいバージョンが提供されています。
ちなみにWelCartを提供している会社が悪いわけではありません。
WordPressとWelCartはオープンソースで、
誰でも無償で提供されている代わりに、
使う人の自己責任になります。
この場合、Webサイトの管理を怠っている写真屋に非があります。
もしセキュリティの脆弱性を見つけた場合の対策
IPAに届けましょう。
サイト管理者の連絡先がわからない場合
幼稚園の連絡先を書けば良いと思います。
それかドメインが独自ドメインの場合、
WHOIS検索でドメイン管理者が分かります。
名前だけでも知ることが出来れば、次はGoogleで調べてみましょう。
それでも身元が分からなかった場合は、
幼稚園から連絡先を聞き出すしかありません。
IPAに申請する時に、ウェブサイトの連絡窓口の場面に幼稚園の連絡先を記載しておけば良いと思います。
2) 届出者情報の取り扱いについて
□ 届出者情報をウェブサイト運営者に知らせても良い
■ 届出者情報をウェブサイト運営者には知らせず、すべてのやりとりをIPA とのみ行う
“■ 届出者情報をウェブサイト運営者には知らせず、すべてのやりとりをIPA とのみ行う”にチェックしておけば、
IPAが連絡を取って聞き出してくれると思います。
このチェックは幼稚園や写真屋と連絡取らずに、第三者であるIPAが直接やり取りを行ってくれます。
ただし、海外のセキュリティ情報に関しては、IPAの情報収集能力は極端に低くなります。
また最新のセキュリティ情報を収集しないので、
最初に報告した時点で、
脆弱性に当たらないと判断し、
その後セキュリティリリースがされて脆弱性に含まれても、
そのままということになります。
また、リンク先が海外サイトだと殆ど見ていません…
日本語サイトにセキュリティ情報元の海外のサイトにリンクがあって、情報が載ってたのに、リンク脆弱性の再現手順が分からないと返事が来ました…。
こちらがわざわざ1から海外サイトの情報を提示しないと脆弱性の再現手順ができないみたいです…。
3月以降IPAから連絡が全くないのですが、ちょっと心配になりますね…
まとめ
IT業界にいれば当たり前であったことが、
ITに関係ない分野がいかにセキュリティリスクが高いという事を思い知らされた案件でした。
正直ママ友間でLINEが当たり前のように使われていますが、
IT業界ではリスクが高い為に使うのを避ける傾向にあります。
LINEメッセージ、特定条件下では「盗み見」可能に LINE公式が見解
おまけ:写真屋の腕はどうなのか?
正直、プロを雇っているはずなのに、
一応見た限り機材も整っているはずなのに、
写真の腕は物凄く残念なレベルです…
ピンボケ当たり前。
自分で写真を撮った方が良いレベル。
幸い我が家は一眼レフ2台あるので、
動画と写真に分かれて撮っています。
実際200mm持ってれば、
ちょっと遠くても十分撮れます。
独身時代に趣味でカメラを撮っていたのが良かったんだと思います。
毎回周囲の人から、「気合い入れすぎ」と笑われ、「聞こえてるんですけど!」と言うのがありました。
それをお遊戯会や運動会の度に何度も言われましたね…。
正直子供が出来る前に写真を撮る趣味をしていて良かったと思います。
IT関係で親しくなった友人と良く一緒に旅行して、
写真部的な活動をしていました。
皆一眼レフ持ってました。
一人が持ってると、
自分も綺麗な写真を撮ってみたい…そう思って、
私を含めてみんな買い始めて、
いつの間にか皆一眼レフ持ってる状態になりました。
今は子育てで仕事していないので、
一眼レフは買えませんけれど、
本当に独身時代に大金叩いて良かったと思っています。
子供の良い写真を残したいなら、
良い道具を持つべきです。
自分で撮る方が愛着湧きますよ(^^♪