セキュリティ
2000年代初頭、米国大手通信キャリアで実際に起きた出来事です
PWNED 「PWNED」へようこそ。これは読者の皆さんが実際に目撃した、最悪のテックセキュリティミスを紹介する週刊コラムです。同じ過ちを繰り返さないためのヒントをお届けしています。
ネットワークに大きな穴を開けてしまった体験談をお持ちの方は、[email protected] までぜひお寄せください。ご希望の方には匿名での掲載も対応しています。
今週のコード杜撰エピソードを提供してくれたのは、「ジョーカー」と仮名でご紹介するデータベース管理者(DBA)の女性です。21世紀最初の10年間、彼女は米国の大手携帯キャリアの一つに転職面接に訪れました。
そこで彼女が目にしたものは、SIMカードを即座に解約したくなるようなものでした。
採用担当マネージャーとの面接を無事通過したジョーカーは、その場で採用が決まりました。
数時間後、会社はデータベースサーバーへのsudoレベルのアクセス権を彼女に付与し、いくつかのデータベースを「確認してみて」と指示しました。
ジョーカーはすぐに、このキャリアのセキュリティが笑えない状態だと気づきました。彼女がアクセスしていたのは、モバイルウェブ関連のサービスを統括する、そのキャリアのデータサービス部門本番メインサーバーだったのです。当時はiPhone登場以前の時代であり、BlackBerryやフィーチャーフォン向けに最適化された粗削りなモバイルサイトを管理しているサーバーでした。
さらに調べを進めると、ジョーカーはマスター顧客テーブルにもアクセスできることに気づきました。そこには悪夢のような量の個人情報が格納されていました。氏名、住所、社会保障番号、請求情報、さらには16桁のクレジットカード番号までもが、暗号化も難読化も一切施されていない平文で保存されていたのです。一部のクレジットカード情報にはCVVが欠けていましたが、多くのレコードにはCVVも含まれていました。
「上流にはAmdocsサーバー上の集中請求システムがありましたが、ユーザーが新しいサービスの追加を求めた場合に毎回上流へ問い合わせずに済むよう、このデータベースにも請求情報が重複して保存されていたんです」とジョーカーは語っています。
ジョーカーが管理職にこの問題を報告すると、会社は問題のデータを削除し、開発者に対して請求情報は本来通り上流から取得するよう徹底させました。
まともなDBAであれば誰でもそう思うように、ジョーカーはこうした情報へのアクセスが厳格に管理されているものだと思っていました。まさか入社初日の新人社員にフルアクセス権が与えられるとは、想像もしていなかったのです。
また、重要なデータはトークナイズされているはずだとも思っていました。クレジットカード番号や社会保障番号といった情報を顧客の氏名や住所と同じテーブルに格納せず、実際の数値をセキュアなトークンボールトに保管したうえでトークンだけを参照する仕組みは、決済システムでは一般的な手法です。
もしジョーカーが倫理観の低い人物だったり、別の何者かが管理者アクセスを入手していたりすれば、大量の機密データが外部に流出していた可能性があります。アクセス権限はゼロトラストを前提とし、業務に必要な最小限のものだけを付与すべきです。
ジョーカーはその後、大手オンライン小売業者に転職しましたが、そこではセキュリティが最優先事項として扱われていたと語っています。ジョージ・W・ブッシュ政権の時代でも、正しく理解していた企業は確かに存在していたということです。®
