あどみん
予告通り、お詫びの速達が届いた。ドラゴンズ朝市の納品書を確認して、愕然とした。すでに、クラックされてシステムが書き換えられている? 納品書の最下部に、URLが印刷されている。
https://www.apita.co.jp/admin/order/receipt_list.php
こんな単純なURLだったんだろうか。だとしたら、社内以外のIPアドレスをフィルタで落とすとかしてなければ、やられて当然。しかし、こんなURLの印刷された納品書を顧客に渡すか? これから推測すると、admin階層に共通してアクセスできるアカウントが、最低限、店舗の数だけあることになる。
バグだらけのシステムを、まともに検収できずに運用。学生時代にCOBOLをかじったけど・・・というレベルの人材が上層部を含めて、流通業界の平均値なのかもしれない。
Webベースのシステムなので、他社(イオン)でも、社内処理用URLをヘッダやフッタとして印刷してしまうミスはある。セキュリティ研修なんて、行っていないんだろうと思う。社内処理の階層構造が漏れると、攻撃者にアタックのヒントを与えることになる。キーボードとマウスは使えるけど、というレベルの人材を使うのであれば、それでも問題の起きないようなシステム設計をしなければならない。
イオンの場合は、カード情報をイオンクレジット側で保持しているので、カード情報のセキュリティは高いだろう。
住所、氏名、電話番号などの情報は、どこのネットスーパーも危うい気がする。GID的に、通称名で会員登録することにしよう(笑)