セキュリティの
学び場

今回の解説ニュース

負荷対策が原因で、他人の会員情報が表示された可能性があるということです。インシデントの原因となったプロキシキャッシュの概要と、Webサイトの負荷対策をする際にセキュリティで気を付けるべきポイントについて説明します。

今回のインシデントは、会員限定アプリにて、会員のマイページに本人とは異なる会員情報が表示される事象が発生したというものです。原因として、負荷対策のために導入されたプロキシキャッシュによって、会員のログイン情報が他の会員に引き渡されたことが挙げられています。

対策として、アプリの緊急メンテナンス及び原因調査を行い、対象者へは個別に連絡を行っています。再発防止策として、今後、負荷軽減対策としてプロキシキャッシュを導入する際は、キャッシュの中にログイン情報を含まないことの確認を確実に行い、導入の決定するよう開発体制の改善を徹底するということです。

インシデントの原因となった「プロキシキャッシュ」の概要

プロキシキャッシュとは

プロキシキャッシュとは、Webサイトの情報を一度サーバーに保存しておき、同じ情報を再度要求された際に、サーバーから直接取得する代わりに、保存しておいた情報を提供する仕組みです。もし、プロキシキャッシュにユーザ固有の情報を保存してしまった場合は、別のユーザがアクセスした際に、その情報が表示されてしまう可能性があります。

プロキシキャッシュの目的

プロキシキャッシュは負荷軽減の目的で、導入されることが一般的です。具体的には、同じページが何度も閲覧される場合は、プロキシキャッシュが代わりに応答することで、Webサーバーへのアクセス回数が減るため、ページの表示速度が向上したり、ネットワークの負荷を軽減したりできる可能性があります。

プロキシキャッシュの注意点

ただし、設定を間違えると、ユーザがアクセスした際に、意図しない情報が表示されてしまう場合があります。具体的には、プロキシキャッシュの古い情報が表示されたり、本来は表示されるべきではない情報が漏洩したりする可能性があります。

今回のインシデントでは、会員のマイページがプロキシキャッシュに保存されてしまったため、他会員のマイページに会員情報が表示されたことが考えられます。

Webサイトの負荷対策でセキュリティで気を付けるポイント

パスワードリスト攻撃が発覚した場合、再発を防ぐために企業は多要素認証の導入や監視体制の強化といった対策を講じることが求められます。これらの対策により、攻撃者が取得した認証情報を利用した不正アクセスを防ぎ、セキュリティを強化することが可能です。

Webサイトの負荷対策をする際にセキュリティで気を付けるべきポイントとして、キャッシュするページからユーザ固有の情報を含むページを除外することが必要です。

プロキシキャッシュ以外にも、CDNなどを利用してWebサイトへの負荷軽減を行うことが一般的です。いずれの場合も、キャッシュの対象となるページから、ユーザ固有の情報を含むページを除外することが必要です。具体的には、ログイン後のマイページなどには、ユーザID、パスワード、購入履歴など個人を特定できる情報が含まれる場合があります。また、セッションIDはユーザーの状態を識別するために使用されるため、セッションIDを含むページをキャッシュすると、他のユーザーに影響を与えてしまう可能性があるので、除外することが求められます。