【オフショア開発失敗事例紹介】セキュリティ情報トラブル
こんにちはオフラボの花井です。
今回はオフショア開発の失敗事例の中からセキュリティ情報トラブルについて説明をしていきます。
オフショア開発でのセキュリティトラブル
オフショア開発に限らずシステム開発では、セキュリティに関するトラブルはしばしば起こります。
そのためセキュリティに関する対策は非常に重要になっていきます。
以下に事例と対策を説明していきます。
メールサーバーのID・パスワードが漏洩
オフショア開発でもセキュリティ情報に関するトラブルは度々発生しています。
その中でもメールサーバーのIDやパスワードが漏洩してしまうことが頻度の高いセキュリティトラブルです。
メールサーバーのIDとパスワードとは、アプリケーションからメールサーバー経由でメールを送信する認証情報です。
最近のシステムではユーザーの認証など通知にメールを活用することが多く、メールサーバーを使って様々な機能を作っています。
そのため、メールサーバーのIDとパスワードが第3者に漏れてしまうとシステム外部からメールを送信することができることが発生します。他のシステムと関係ない人が悪用するトラブルに発展します。
以上のトラブルを避けるためメールサーバーのID・パスワードは外部に漏れないようにしておくことは非常に重要です。
具体的な実際の事例
オフラボに相談があった事例では、システムのメールが外部から送られている問題が生じている状態でした。
オフラボに相談に来たお客様はオフショア開発会社に直すことを依頼しましたが、原因が不明で直せないため、困ってオフラボに相談された状況です。
調べて見ると、第3者がメールサーバーのID・パスワードを使用して、メールサーバーを悪用している可能性が高いことが判明しました。
以下にオフラボで実際に対応した方法です。
認証情報の変更
まずは現在悪用されている可能性のあるメールサーバーの認証情報を変更します。
現在メールサーバーを悪用できないようにすることが重要です。
しかしどこからか認証情報が流出していますので、変更してもすぐに悪用が再開されます。
そのため、変更した後に流出元の調査と対策する必要があります。
サーバーの権限確認
次に流出の可能性が高いサーバーの権限のセキュリティや設定について調べていきます。
サーバーの情報が流出していれば、メールサーバーの認証情報も外部に流出してしまいます。
権限周りや設定などを調査しましたが、流出するような状態は発見できませんでした。
外部サービスの権限確認
次に外部サービスの設定を調査しました。
例えばGithubを使用してプログラムを管理していると、Githubの公開設定を間違えると、プログラムのコードが公開されることが発生します。
公開されたプログラムこどの中にメールの認証情報があると第3者が見ることができてしまいます。
そのため外部サービスの権限や設定が正しいものなのかを確認します。
しかし、外部サービスの設定は正常でした。
アプリケーションの設定確認
最後にアプリケーションの設定の確認をしました。
このアプリケーションの中でにメールサーバーの認証情報が表示される設定になっていると、第3者が認証情報を見ることができてしまいます。
設定や表示の可能性がある場所を調査しました。
この事例ではアプリケーション設定が間違っていて、認証情報が流出していました。
アプリケーションの設定を直し、以降のメールサーバーの悪用は消失しました。
これがトラブルを解消までの流れになります。
まとめ
今回はセキュリティー情報のトラブルについて説明をしました。
このようなセキュリティ対策はオフショア開発会社の中には苦手な開発会社もあります。
セキュリティトラブルが生じた時は、ぜひオフラボまでお問い合わせください。