ショップハンター

2015.02.26
XML
 昨今は Web サービスのクラウド化がすすみ、外部サーバにデータを置いておくと自宅でも、外出先でも情報を同期することによって、ほしい情報を取り出したり、編集できたりしますね。

 しかしながら、「便利」、「安全」といった言葉が一人歩きしている印象は否めません。
 それは、ネット上に安全な場所はまずないと考えた方が賢明だからです。

 以下、Web サービスの概要をつかめるように、そのしくみを図にしてみました。
 少々専門的な用語も含まれますが、情報セキュリティについて興味のある方はご覧いただけると幸いです。

Web サービスの構造と不正侵入のリスク


 会員登録ができるタイプの Web サービスは、多くの場合、以下の三層(3-tier)構造になっています。

一般的な Web サービスのモデル

― Web サーバ(プレゼンテーション層)
― ユーザの要求に応じて処理を行うサーバ(ビジネスロジック層)
― 情報を管理するサーバ(データベース層)← 個人情報が流出するのがココ


 図中、どろぼうのマークをつけた箇所が侵入されやすいポイントです。

 Web サーバでは、ユーザからのアクセス要求を受けつけるポートが解放されています。
 ここが最も侵入されやすいので、サーバ証明書をインストールして通信内容を暗号化するとともに、ログイン処理を複雑にしたりして、ユーザの情報が盗まれないように工夫する必要があります。

 このほかに、サーバ管理者が外出先や自宅からサーバを遠隔操作できるように、専用のポートが解放されていることも多いです。 
 このポート番号は外から見つけられないように管理者が別のものに変更したりすることもあるのですが、それでも外部からポートスキャンされると侵入ポイントを見つけられてしまいます。

 たいていはこのような不審な操作が検知されると、ネットワーク側で通信を遮断するとともに、不審アクセスの内容を管理者に通知するように環境を構築しますから、そう簡単にはいかないようになっています。

Web サービスは侵入ポイントを解放しているようなもの


 これだけ間口が開いていると、悪意のあるユーザによって以下のような操作が行われる危険性が常に伴うことになります。
1. プレゼンテーション層から侵入して、解析用のスクリプトを仕込み、サーバ内のファイルを改ざんしてデータベースから情報を取り出す。
2. ビジネスロジック層にプログラムを仕込んで、プレゼンテーション層からわたってくる情報を傍受し、データベースの情報を取り出す。
3. データベース層に直接侵入して情報を取り出す。
4. データベース層のログをそっくり持ち逃げして、自分のところでデータを復元する。
 
 おおまかに書かせていただきましたが、こういった環境で私たちの情報は管理されていると考えてよいでしょう。
 つまり、悪意のあるユーザの力量次第では、データが持ち出しが可能になってしまうのが現状なのです。

パスワードで管理されたエリアが気休めにしかならないこともある


 最近では、クラウドサービスのサーバからハリウッドセレブのプライベート画像が流出するという事件も起こっていますね。
 これは、外部の人間がハッキングを行い、流出したものです。
 いくらパスワードをかけて個人情報を管理していても、データベースに横入りできる状態になっていればアウトという典型例ですね。

 私の経験談では、3年前にたまたま某携帯用サービスにアクセスしたところ、会員情報がまるみえになっていてビックリしたことがあります。
 老婆心からシステム管理者に連絡しましたが、知らぬが仏ではとても片づけられない問題です。

 ツイッターもしょっちゅうハッキングの被害にあっています。
 YouTube のチャンネルもハッキングされることがあります。

 こう言ってはナンですが、楽天サービスも ID ハッキング被害が後を絶ちません。
(ユーザ側に落ち度があるケースがほとんどだとは思いますが。)

 いくらパスワードを複雑にしても、内部構造を知っている者や、侵入プログラムを組める者が本気を出せば、一見不可能なことも可能になってしまうのがネットの世界です。

まとめ:一般公開する予定がない画像やデータはアップロードしないことが鉄則


 いくらロックのかかった空間でプライベートなデータを管理しているからと言っても、先ほど申し上げたとおり、横入りされてしまってはロックもクソもございません

 「便利」、「安全」と言い切ってしまう Web サービスがことのほか多いのですが、それらのサービスも免責事項のところをよくよく見ると、ユーザデータの保証はしていないという大きな矛盾があることも特徴です。

 自分の顔や個人データは履歴になります。
 ネットの情報は、最近では電子刺青とも呼ばれたりしますね。
 問題が起こったときに、あわててデータを削除しても、第三者によってコピー(魚拓)を取られたり、まとめページを作られたりしたら、自分の手の届かない場所で情報はどんどん拡散されますから、程度によっては一生残り続けるという、刺青より悲惨な状態になるのです。

 そういう安全とは言いきれない場所に、大切な個人情報を置いておいたらどういうことになるか。
 考えれば考えるほど恐ろしいですね。
 
 もちろん、個人情報の公開が絶対にダメだと申しているわけではありません。
 営業活動や自己アピールの一環として、他者からの信頼を得るためにはやむを得ないこともあるでしょう。

 しかしながら、自分にとって不利になるような問題が発生した場合に、その問題に関連してネットの情報がかき集められ、過去の情報の関連づけが行われやすくなります。
 そんなのイヤだ!という方は、個人が特定されるような情報の公開はできるかぎり慎んだほうがよいということになります。


 そもそも、公開予定のない書類、個人的な写真や動画はハナから外部サーバにアップロードしないの一言につきますね。
 クラウドサービスの便利さに乗せられて、データをいろいろなデバイス間で同期させちゃったりしている方は特にご注意ください。

関連記事


Outlook.com で不正アクセスされたぞい
[情報編] うっかりもれてる個人情報
楽天でいつもと様子が違うと思ったら、ログイン履歴をチェックしてアラートを設定しよう
クレジットカード利用者は今年中にパスワードの変更を
自意識過剰にならざるを得ないのがネットの世界
スノーデンが何か言ってる DropBox の話。信じるか信じないかはあなた次第



web拍手 by FC2 ←こちらからこっそりコメントでけます







最終更新日  2015.11.07 21:14:36
[楽天ブログ・アフィリエイト関連] カテゴリの最新記事

PR

サイド自由欄

キーワードサーチ

▼キーワード検索

日記/記事の投稿


Copyright (c) 1997-2019 Rakuten, Inc. All Rights Reserved.