アンダーソン回答ポイント 142ptウォッチ

システム会社に会員制サイトを作ってもらって、データベースを見ていたらパスワードが生で表示されていました。それを見て安全性の面で大丈夫かなと感じています。

システムはPHP + Mysqlです。
環境はSSL通信で検索は引っかからないようにしております。
ただし、httpからhttpsへの強制接続切り替え機能はないのでhttp通信も可能です。

サイト自体は検索に引っかからず、存在もユーザー以外には知られないなら大丈夫かなと思いましたが、結構な個人情報を含む内容のデータなので気になっています。

データベースにはユーザー（3000名ほど）とその管理者（50名ほど）、更にその上の総管理者（3名）という3者全てのIDとパスが生で保存されています。

エンジニアの皆さんから見てこの状態って危険でしょうか？
また、これを解消するにはどうするのがよいでしょうか？

システム会社にこのことを訴えるのか、それとも、そもそもそんなことをする会社に訴えかけても無駄だから新しいところに声をかけるべきなのか、そういったアドバイスを頂ければと思います。

• はてなアカウントでログイン
• 無料ユーザー登録

ベストアンサー

• すいんぐ2015/05/07 03:46:41

  満足67pt

  危険です。
  パスワードはハッシュ化（暗号化技術利用）をするのが一般的で、実施すべきです。
  現行の対応会社に対応依頼を出すとよいです。必須対応となるべき項目です。
  対応工数は重くないです。
  
  PHPの公式マニュアルでも提示されているので、以下ご一読ください。
  http://php.net/manual/ja/faq.passwords.php
  以下一部抜粋です。
  ＝＝＝＝
  【なぜ、アプリケーションのユーザーが登録したパスワードをハッシュしなければならないのですか?】
  パスワードのハッシュは、最も基本的なセキュリティ要件のひとつです。 ユーザーからパスワードを受け取るアプリケーションを設計するときには必ず考慮しなければなりません。 ハッシュしなければ、パスワードを格納したデータベースが攻撃を受けたときにパスワードを盗まれてしまいます。 それは即時にアプリケーションが乗っ取られることにつながるし、 もしそのユーザーが他のサービスでも同じアカウント・同じパスワードを使っていればさらに被害が大きくなります。
  
  ユーザーのパスワードにハッシュアルゴリズムを適用してからデータベースに格納しておくと、 攻撃者が元のパスワードを知ることが難しくなります。 とはいえ、パスワードのハッシュ結果との比較は可能です。
  
  しかし、ここで注意すべき点は、パスワードのハッシュ処理はあくまでもデータベースへの不正アクセスからの保護にすぎず、 アプリケーション自体に不正なコードを注入される攻撃からは守れないということです。
  ＝＝＝＝
  
  なお、今回は新会社での対応ではなく、現行の会社に依頼するのが良いと思います。
  対応会社を変える場合、新会社担当にて現状のシステム解析から入ることになるので時間とお金が大きくかかる為です。

  スター

  • 

    3件のコメントを見る

  • アンダーソン 2015/05/07 18:44:31

    非常に参考になりました。
    
    みなさん一様に危険であるとの認識に、早急に対策を取らねばと危機感を持つことが出来ました。今後の対応についても言及して頂いてありがとうございます。
    
    ちなみに独自のフレームワークを利用しているようで、phpは5.2を使用しています。
    ご紹介頂いたリンク先にある、PHP 5.5 以降で使えるネイティブのパスワードハッシュ API というのは残念ながら使えそうにないです。

    スター

  • すいんぐ 2015/05/07 19:09:50

    なるほど。
    PHP5.2ですと、独自で作る方法もありますがphpassを組込むのが早いです。
    phpassは小さいライブラリですが強固なパスワードハッシュを簡単に生成してくれます。
    ▼phpass紹介記事
    http://gihyo.jp/dev/serial/01/php-security/0040
    ▼phpass本家ホームページ
    http://www.openwall.com/phpass/

    スター

  • アンダーソン 2015/05/07 19:17:25

    ありがとうございます。非常に参考になります。
    システム会社には耳の痛い記事かもしれませんが、このページを見せるのが手っ取り早く、彼らにも危機意識を持ってもらえるのかなと思います。

    スター

その他の回答

• alfa-gadget2015/05/06 23:59:41

  満足25pt

  OS やミドルウェアのセキュリティーホールもあるわけですから、パスワードを生で保存するなど今どきでは考えられません。
  瑕疵として請負会社に修正を請求すべきです。
  
  最近ではSQLインジェクションの可能性があるシステムを納入した開発会社に瑕疵を認める判決がありました。
  http://www.softic.or.jp/semi/2014/5_141113/op.pdf

  スター

  • 

    1件のコメントを見る

  • アンダーソン 2015/05/07 16:36:46

    こういった判例もあるんですね、参考になります。

    スター

iwaim2015/05/07 00:11:50

満足25pt

内部に悪人がいなくて、漏洩しなければ問題とはならない気もします。ただし、内部の人や外部の人の手で漏洩してしまった場合は、「パスワードが平文で保存されていた」という点で最低限のこともやっていないと責められることになるでしょうね。（漏洩した時点でダメというのは当然ですけど）

どのように修正するにせよ、まずはそのシステム会社に連絡することからはじめた方がよいと思います。考えなしに平文で保存しちゃうようなところは他にも問題がありそうで怖いですけど、もしかしたら「ユーザーがパスワードを問い合わせてきたときには現在のパスワードを知らせる」というような要件があって、仕方無くやっているかもしれないし。

スター

• 

  1件のコメントを見る

• アンダーソン 2015/05/07 16:37:46

  やはり内部のユーザーによる漏出も考えられますよね。
  パスワード暗号化は最低限の事であるという認識は参考になります。

  スター

e_p_i2015/05/07 00:27:42

満足25pt

使用フレームワークでサポートしてるなら、もしもの時のSQLインジェクション対策にソルト付きで暗号化しておくのが基本かと。「絶対にSQLインジェクションは起きない」という自身があるなら暗号化しなくてもいいですが。
接続はhttpsにすべきです。ユーザ情報が関わる通信は全て。リダイレクトさせる様に言った方が良いかと。
webサイトはドメイン取得をしていなくても一日数十件から数百件の機械的なアタックと思しきアクセスがあるので、注意はしておきましょう。経験上アタックはMySQLAdmin狙いの物が多いのでMySQLAdminは使わないのが基本です。
それ以上は事情が分からないので言いませんが、会員制サイトならhttpsにしておくのが良いかと。

スター

• 

  3件のコメントを見る

• アンダーソン 2015/05/07 17:26:03

  SQLインジェクション対策についても問い合わせてみたいと思います。
  httpsにすべきという意見も参考になります。
  アタックに関係あるかどうかわかりませんが、PhpMyAdminを使っているようです。

  スター

• e_p_i 2015/05/07 18:06:36

  すいません、恥ずかしながら間違いました。MySQLAdminではなく正にそのphpMyAdminです（mysqladminはmysql本家のツールでした。ボケてました。）。アタック量の半分くらいはphpMyAdmin狙いでした。なので止めるよう言った方がいいと思います。
  
  全てhttps通信にした方が良い理由ですが、もし認証がBASIC認証で行われている場合（これ自体望ましくないのですが）、https通信が切れた部分があるとそのパケットを取得された場合にユーザー名とパスワードが簡単に分かってしまうためです。
  BASIC認証されたページにアクセスする場合は都度認証情報を付けたアクセスを行いますが、これがSSLで保護されていない場合、パケットを取得されたら確実にユーザー情報とパスワードが漏れます。（なので認証自体をDigest認証にすべきです）
  どうも見た感じ甘い開発が行われている様なので、ここの部分はチェックすべきかと思います。

  スター

• アンダーソン 2015/05/07 18:09:55

  ありがとうございます。参考にさせて頂きます。

  スター
• その他の回答を読む

この質問へのコメント

• tak2015/05/07 10:02:03
  
  それは本当に生のパスワードそのものだったのでしょうか？
  php , mysql ならば、password_hashでハッシュ化した文字列を保存している場合の方が圧倒的に多いと思うのですが
  
  password みたいな文字列が保存されていたのでしょうか？
  5ehqfKQFfy6UMw4E8ecfic みたいな文字列ではなかったのですか？
  
  
  
• アンダーソン2015/05/07 13:58:50
  そうだったらいいのですが、残念ながら生のパスワードです。
  例えば「tak0512」とか「hiroshi1234」とか
  明らかにそれとわかるような文字列ばかりでした。
• iwaim2015/05/07 20:05:52
  念のため書いておきますが、「暗号化」と「ハッシュ」は別の意味になるのでシステム要件の話などをするときは区別した方がよいです。「パスワードは暗号化してデータベースに格納すること」と決まっていたら、通常はハッシュを使うことはありませんし。
• アンダーソン2015/05/07 20:27:04
  ご丁寧にありがとうございます。
  正確な意味は理解できておりませんが、別のものとして頭に入れておきます。
• masterkit2015/05/09 08:48:20
  パスワードをhash化しても、SQLぶち込まれてその他見えちゃったとかだと、ログインする必要すらないよね。
  数千件程度のリスト狙いにくるリスク可能性考えたらそこまで気にする案件でもないと思うけど。
  不正アクセスあったらログ見て通報すりゃおkでしょ。
  なんか数千万のユーザー抱えてるシステム並にみなさん高尚な事言ってるけど、発注金額によっちゃ仕方ないレベル。
  難癖つける前にそれなりの金額と事前交渉を用意する方が先なんじゃない？
  生パスワード必須とか最初に言えば済む話、仕様変更するなら金積めよw
• kaidnu22015/05/12 00:58:48
  DBを見れる力がありながら納入前にどうしてチェックされなかったのでしょうか？受入れ試験には立ち会いましたか？ってことが突っ込まれどころかなと。
  ハッシュはあくまでハッシュであって暗号化されたデータではありません。
  仕事を回すために従来の部品を使い回ししていることは多いので、相手が帰りたいといっても納得できるまで聞くべきでしたね。
  しかし平文はないですね。貴方の上長に報告した上で相手と交渉すべきでしょうね。

質問の情報

登録日時

2015-05-06 23:34:16

終了日時

2015-05-07 18:45:36

回答条件

1人1回まで

この質問のカテゴリ

• ウェブ制作

この質問に含まれるキーワード

人気の質問

• 自作パソコンを組みのとBTOとどちらが良いなどありますか？ ゲーム配信・動画・イラスト作成編集などする予…nagadora11日前
• あなたは 4/30～5/2は休みですか？tak22日前
• 中学3年女子です。 東野圭吾の本が好きな男子って、どんな性格だと思いますか。 （はっきり言って頭が良く…匿名質問者2112日前
• 一人合同会社を作るのに何日ぐらいかかりますか？(事前に下調べ完了している前提) 背景： 会社1に雇用され…mogu20092日前
• 人間関係の事で相談です。 私は学生で、Aという２年間同じクラスで仲のいい友達がいます。その、Aという子…匿名質問者2日前

メニュー

• 質問一覧
• カテゴリ一覧
• 無料ユーザー登録
• 人力検索はてなトップ

PC版

• お問い合わせ
• ヘルプ
• お知らせ
• はてなトップ