Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?

株式会社メタップスペイメントの運営する決済代行システムから約288万件のクレジットカード情報が漏洩した不正アクセス事件について、第三者委員会の報告書および経済産業省の行政処分(改善命令)があいついで公開されました。 第三者委員会調査報告書(公表版) クレジットカード番号等取扱業者に対する行政処分を行いました (METI/経済産業省) 本稿では、主に第三者委員会の調査報告書(以下「報告書」と表記)をベースとして、この事件の攻撃の様子を説明します。 システムの概要報告書にはシステム構成図やネットワーク構成図は記載されていないため、報告書の内容から推測によりシステムの構成を以下のように仮定しました。 図中のサーバー名は報告書の記載に従っています。以下、概要を説明します。 サーバ名概要 A社アプリ一般社団法人A 会員向け申込みフォーム 経産省改善命令では、「同社とコンビニ決済に係る契約を締結してい
ジェイウォーク(信号無視) アンチパターン カンマ区切り文字列でidを一つのカラムに格納する。 デメリット 特定のidを持つレコードだけを抽出する、のような本来簡単なクエリにまで正規表現が必要になる。仮に002というidに紐づけられているレコードを検索する際のWHERE句は1002などを避けるためにfig. 1のようになる fig. 1 WHERE id ~* ANY(ARRAY['002,%', '%,002,%', '%,002']) OR id = '002'; VARCHARのような上限のある型を用いてしまうと当然、紐づけられるid数に物理的な上限が生じる。 idの編集の際に文字列の結合が必要になってしまう 区切り文字は決してidとして使われない文字にしなければならない 例外 格納されたそれぞれ個別のidを取り出すことはない場合 カンマ区切りで結合されているというフォーマットに意味
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く