セキュリティ
2000年代初頭、米国大手通信会社で起きた実話
PWNED PWNEDへようこそ。本コラムは毎週お届けする連載で、読者の皆さんが実際に目にしてきた最悪のセキュリティミスを取り上げます。同じ過ちを繰り返さないためのヒントをお届けするのが目的です。
ネットワークに大穴を開けてしまったエピソードをお持ちの方は、ぜひ [email protected] までお送りください。ご希望の方には匿名での掲載も対応しています。
今週のコードにまつわる失態をご提供くださったのは、「ジョーカー」という仮名でお伝えするデータベース管理者(DBA)の方です。21世紀の最初の10年間、彼女は米国の大手携帯キャリアの一つに面接を受けに行きました。
そこで目にしたものは、思わずSIMカードを取り替えたくなるような光景でした。
採用担当マネージャーとの面談は順調に進み、その場で採用が決まりました。
入社から数時間後、会社はジョーカーにデータベースサーバーへのsudoレベルのアクセス権を付与し、「データベースを見ておいてほしい」と指示しました。
探索を進めるうちに、ジョーカーはこのキャリアのセキュリティが笑い事ではないと気づきました。気づけばモバイルウェブ関連サービスをすべて管轄する、データサービス部門のメイン本番サーバーにアクセスしていたのです。当時はiPhone登場以前の時代でしたから、彼女が目にしていたのはBlackBerryやフリップフォン向けに圧縮された、いかにも小さなウェブサイトでした。
さらに調べていくと、ジョーカーは顧客マスターテーブルにもアクセスできることを発見しました。そこには膨大な量の個人識別情報(PII)が格納されていました。氏名、住所、社会保障番号(SSN)、請求情報、そして16桁のクレジットカード番号の全桁まで。これらの情報はすべて暗号化もマスキングもされていない平文で保存されていました。一部のカード情報ではCVVが欠けていましたが、多くはCVVまで揃っていました。
「上流にはAmdocsサーバー上の集中課金システムがありましたが、ユーザーが新しいサービスのプロビジョニングを求めた際にいちいち上流まで問い合わせなくて済むよう、このデータベースにも請求情報が保存されていたのです」とジョーカーは語っています。
ジョーカーが経営陣にこの問題を報告すると、会社は問題のある情報を削除し、開発者たちに対して本来そうすべきだったように、再び上流から請求情報を取得するよう義務付けました。
ジョーカーは当然のDBAとして、こうした情報へのアクセスは厳しく制限されているものと思っていました。初日からフルアクセス権限を持つ新入社員に開放されているとは、考えもしなかったのです。
また彼女は、新しい雇用主が重要なデータをトークン化していると思い込んでいました。トークン化とは、クレジットカード番号や社会保障番号などの情報を、顧客の氏名や住所と同じテーブルに表示させない手法です。実際の番号はセキュアなトークンボールトに保管され、テーブルにはそこへ紐づくトークンだけが存在する——これは決済システムでは一般的な手法です。
もしジョーカーが倫理観の低い人物であったか、あるいは別の誰かが管理者権限を手に入れていたとしたら、大量の機密データが流出していたかもしれません。権限はゼロトラストを前提に、業務上必要な最小限のみを付与するべきです。
ジョーカーによれば、その後大手オンライン小売業者に転職したところ、セキュリティが最優先事項として徹底されており、ジョージ・W・ブッシュ政権の時代にも「わかっている」企業は存在したことを証明してくれたと語っています。®
