オルタナティブ・ブログ > 一般システムエンジニアの刻苦勉励 >
RSS
一般システムエンジニアの刻苦勉励

身の周りのおもしろおかしい事を探す日々。ITを中心に。

これもサラミ法の一種?楽天トラベルポイント窃取事件

»

楽天トラベルのポイント付与システムを悪用し、ポイントだけをもらって宿泊をキャンセルしていた犯人が逮捕されたそうです。

現在はシステム側で対策済み、ということです。私が楽天トラベルを使った経験では宿泊費の支払方法を「現地決済」にすることができました。これを選ぶとだいたいはチェックイン時に名前を告げてチェックアウト時に現金を払うだけという流れとなり、楽天は予約代行システムのような振る舞いとなります。

宿側はその時点で現金が入ってしまいますので、「現地決済」で来た予約については宿泊後に「実際に宿泊がありました」と消しこみをするのも面倒になってしまうのかもしれません。これがもし楽天トラベルにより決済が代行され、宿が実際に宿泊があったことを申請して楽天トラベル→宿の資金流しかなかったとしたら、今回のような犯行は難しかったのではないかと思います。

報道によると「カラ予約」ということですので、予約をしておきながら電話で宿にキャンセルを入れた、などの手がこんだものではなさそうです。おそらくは予約をして無断キャンセルをするのでしょうが、宿側も繁忙期ならともかく、元々空き部屋がある閑散期で素泊まりの予約をしたとすればいちいち追及するコストがもったいないと考えたのかもしれません。または宿側も楽天トラベル側に「無断キャンセル」の情報を登録しつつも、犯人側が楽天IDを次々変更するなどして楽天トラベル側で対策が取れなかったなどの事情もあったかもしれません。

以前にAmazonでコンビニで決済をしない限りは代金を払わないままで倉庫に注文商品を留め置くことができ、しかもキャンセルできてしまうという問題がありました。これは事件沙汰になる前にAmazonからユーザに警告が届く形でニュースとなりましたが、同じような問題であると思います。その問題とは技術的な脆弱性、よく言われるところの情報セキュリティとは異なる観点からでも企業が損失を受ける恐れがあるというところです。

通常、企業が情報システムを構築する際に気をつける点と言えば、外部からの攻撃に対する耐性、内部からの不正なアクセス(権限外など)の防止、あたりが基本となります。加えて障害が起きないようにしたり、混雑時に応答性が悪化しないようにしたり、オペレーションを間違いにくくするようにしたり(新商品を誤ってあり得ない低価格で販売してしまう祭りがたびたびありますが)することが行われます。

しかしながら楽天、AmazonのようなメジャーなECサイトが相次いで「そもそもの業務設計が悪い」という罠に落ちてしまいました。楽天もAmazonもハッキングを受けたわけではありません。ごく一般の人がありふれたPCのデフォルトのブラウザで通常の操作を積み重ねただけです。

それはリリース当初は極めて少ない例外処理であり、気付きにくいものだと思います。しかしながらその手法のメリットが広まるに連れ、企業にとって無視できないインパクトとなります。それが積み重なり、最終的には対策を取らなくてはならなくなりますが、その時に今回の件のように報道の形で世に出ることになり、企業価値を貶める可能性が出てきます。

楽天やAmazonの売上高からすれば、それぞれで生じた事例のダメージなど微々たるものと思いますが、構築した情報システムおよび業務フローに不備があったことが公開されてしまうデメリットは実際に失った金額以上のものがあるように思います。

情報システムの世界で旧来から知られる「サラミ法」は例えば大量にある銀行口座からほんの少しずつ利息の端数を失敬してもわかりにくい、というような攻撃を指します。しかしインターネットがコミュニケーションを加速させたことにより、これまでなら対策をとるのがコストに見合わないような目立たない抜け穴のような業務処理があっという間に広がって想像よりも大きな影響を生むという現象が生まれました。

サラミ法の名前の由来はたくさんの皿に並べられた薄切りのサラミの盛り合わせから1枚ずつ抜いてきてもサラミは薄いからわかりづらい、というところから来ています。トンカツやハンバーグの場合、一切れ抜いたらすぐにわかってしまいます。ところがサラミを一人取る人がいたらあっという間に100人になる、という世界ではサラミ法のインパクトは絶大です。最初の数人の時点で対策しない限り、サラミが食い尽くされてしまうという恐ろしさがあります。

もしサービス元がサラミを食べた人に対して会員規約や法律に則って「あなたの行為は認められません」と主張することができない場合、サラミを食べた人から反対に「こちらの行為に不法性はない」と堂々とサービスの履行を求められるかもしれません。

楽天トラベルのポイント窃取方法はネットで広まるにはあまりに黒すぎて騒動になりませんでしたが、ファーストフードのクーポンの不正利用の方法などは後ろめたさが少なかったのか、何度か祭りになったことがありました。「サラミ法」というと端数処理に十分な計算資源を使えなかった古い時代の名残のような印象を受けますが、インターネットを背景に強力な存在に生まれ変わりつつあるように思います。

山口 陽平 2009/12/08 00:20:32 Comment(2)