Web屋のネタ帳

Web業界関係者の公然の秘密。 それは、

• 多くのWebサイトにおいてパスワードは暗号化（一方通行関数によるハッシュ化）して保存するというコンピュータセキュリティの基本のキが驚くほど浸透しておらず徹底されていない
• やらなきゃいけないと気づいてはいても、ユーザー認証処理の変更はWebシステムの全域に影響が及びかねない（＝金と時間がかかる）という理由で見てみぬふりがされているケースが多い。 パスワード忘れ対応業務フローの変更なども余儀なくされるためますます及び腰なケース多々。
• ひどいところになると「ユーザーのパスワードがわからなくなるのは怖い」という、まともな技術屋さんからすると頭おかしいとしか思えない心理が働いていて、説得する気も失せてしまう。
• なお、「ユーザーのそれぞれのパスワードを平文で見ようと思えば見れてしまう状況」は精神衛生上よろしくないと感じるのがまともな技術屋さんというものである。（メインフレーム時代からやってる金融系＝数字4つの暗証番号を基本とする業界＝の人をのぞく）

ということ。

通販サイト「ナチュラム」で約65万件の個人情報流出の可能性 (Internet Watch 2008/6)

閲覧された痕跡のあるデータにつきまして - よくいただくご質問 （ナチュラム）

今回不正に閲覧され、流出の可能性のある顧客マスターの情報は、下記の通りになります。
---必須項目---
1.ログイン用ユーザーID
2.ログイン用パスワード
3.氏名
4.Eメールアドレス
---任意項目---
5.住所
（以下略）

パスワード管理は自己責任 - りょすけ?d

ナチュラムの個人情報漏洩事件ですが、パスワードが平文だったのかどうかの質問メールに対して、ようやく返事がきました。

お客様情報の暗号化につきましては、 性別、家族構成等、弊社固有の管理コードで管理されていた一部をのぞき 対象の期間当時、暗号化が施されておらず、 お客様の情報を預かる身として重大な欠陥であったと責任を痛感しております。 誠に申し訳ございませんでした。

まあ、平文だったそうです。 いろんなサイトでパスワードを変更中の俺・・・*1 Firefoxが覚えてるサイトだけでも100を越えてます・・・変更完了終わるのはいつになるやら・・・ 複数サイトでパスワードを使いまわすのはヤメましょう！ って理屈はわかるんだけど、共通の使っちゃうよね・・・*2

何度でも言おう。 コンピュータセキュリティの最優先事項ナンバーワンとは何か？

それはウィルスチェックソフトを入れることではない。 ファイアウォールでもない。 SSLを使うことでもない。 XSS脆弱性やSQLインジェクション攻撃を気にすることでもない。 「社外持ち出し厳禁」というでっかいシールをテプラで作ってノートパソコンに貼ることでもない。 SSL証明書屋にだまされて「なんとかセキュリティシール」とかいう無意味な画像を自分のサイトに掲載することでもない。 どうでもいい業界団体に大金を払って「プライバシーなんちゃらマーク」を取得してアリバイ作ったつもりになることでもない。

自分のorお客様の「パスワードを正しく管理すること」がすべての基本かつ前提である。

• パスワードの危機(その１) − きっかけ (2004/2)
• パスワードの危機(その２) − あるべき姿 (2004/2)
• パスワードの危機(その３) − 楽天の場合 (2004/2)
• パスワードの危機(その４) − SSL催眠術 (2004/2)
• パスワードの危機(その５) − アマゾンの場合 (2004/3)

見ての通り上記の一連の記事はもう4年以上も前のものだ。 しかし多くのサイトにおいて状況はまったく変わってない。 1996年というかなり早い時期からECサイトを開始し株式上場まで果たしたナチュラム（アウトドア用品／釣り道具屋さん）もこのザマ。

名前？住所？メルアド？これらは社会生活の基本として存在する情報なのだから普通に生活してるだけでどこにだって伝播するものである。そんなものの「流出」をいちいち気にしてどうする。 それよりも、お客様のパスワードをなんだと思ってるんだ？猛省しろ。 （ナチュラムだけに言ってるんじゃないよ）