結論:プラットフォーマーを名乗るなら、外部アプリの脆弱性は「自分のバグ」だと思えよ。13万人のデータを人質に取られたのは、アンタらの審査体制がザルだった証拠でしょ。
「外部ベンダーのせい」という名の、あまりにもダサい責任転嫁
クラウドPOS大手のスマレジで13万6000件の顧客情報が流出。原因はアプリマーケットで提供してた外部アプリ『書類上手』の管理不備。Webディレクターの視点から言わせれば、これ「App Storeでウイルス配っちゃいました、でもAppleのサーバーは無事だからセーフ」って言ってるのと同じくらい暴論だよね。
「当社システムからの流出は確認されておりません」って強調してるけど、ユーザーからすればスマレジを信じてデータを預けたわけ。APIで繋がってる先が「穴だらけのバケツ」だったなら、それは連携を許可したプラットフォーム側の設計ミスなんだよ。
アプリの提供元である外部ベンダーが管理する会員データが、第三者によって不正に取得・公開されていたことが判明しました。
「公開されていた」って、エンジニア的に言えば、認証なしでS3バケットとかのDBをネットに晒してたレベルの初歩的なミスじゃないの? そんなゴミみたいなセキュリティのアプリを「マーケット」に並べてた審美眼を疑うわ。
13万件の「氏名・電話番号」は、詐欺師にとっての「極上リスト」
流出したのは名前と電話番号。これ、「クレジットカード情報じゃないから大丈夫」とか思ってる情弱はいないよね?
- フィッシング詐欺の材料:「スマレジです、情報流出の件でお電話しました」っていう詐欺電話が11万人にかけ放題の状態。
- 名簿の二次利用:特殊詐欺グループの間で、このリストは「店舗利用者」という属性付きの優良カモ名簿として売買される。
- 信用の全ロス:導入してた8社の店舗は、自分たちが悪いわけでもないのに顧客から「個人情報漏らす店」としてブラックリストに入れられる。
現時点で二次被害が確認されてない? 当たり前じゃん。攻撃者はデータを抜いた瞬間じゃなく、忘れた頃に一番効率的なタイミングで攻撃(エクスプロイト)を仕掛けてくるんだから。
「審査体制の見直し」という、事故後恒例のテンプレパッチ
「今後、審査・管理体制についても見直しを行い……」って、流石に遅すぎ。これ、システム開発で言えば「納品物がバグだらけで大炎上した後に、慌ててコードレビューのルールを作ります」って言ってるようなもん。
スマレジの便利な「エコシステム」は、外部アプリとの連携があってこそ。でも、その便利さの裏には「どこの馬の骨かもわからんベンダーが、アンタの大事なデータを触ってる」っていう巨大なバックドアが開いてたわけ。
読者のアンタたちも、便利なSaaSやアプリを「なんとなく」連携してない? 連携ボタンを押すたびに、自分の情報のコントロール権を他人に渡してるって自覚しなよ。「繋がること」は「リスクに晒されること」とセットなんだよ。
【引導を渡す一言】
「書類上手」どころか、情報の「扱い下手」を露呈しただけだったね。
