MEDI-GROUND
INSIGHTS

解説記事

「ログインが必要なはずの会員情報」が、実は誰でも見えている——外注で作ったWebサービスに潜む落とし穴

はじめに

私たちはWebサイトやシステムの開発を手がけています。その仕事のなかで、外注や委託で作られたサービスを見ると、ログイン画面はちゃんとあるのに、その裏側の会員情報は誰でも取り出せる状態になっているケースが驚くほど多いことに気づきました。しかも見た目は正常に動くため、運営者は気づけません。この記事では、なぜそんなことが起きるのか、何を確認すればいいのかを、専門知識がなくても分かるように解説します。

何が起きているのか

Webサービスは、ざっくり「画面」と「データの保管庫」でできています。利用者が見るログイン画面やマイページが「画面」、氏名・メール・購入履歴などがしまわれているのが「保管庫」です。本来は保管庫から情報を取り出すたびに「この人は本当にログイン済みの正規利用者か?」を確認すべきですが、

  • 画面側には「ログインしないと入れない」鍵をかけたのに、
  • 保管庫そのものには鍵をかけ忘れている

という作りになっていることがあります。すると画面を通さず保管庫へ直接アクセスする方法を使えば、ログインしていない第三者でも会員情報を一覧でまるごと取り出せてしまいます。入口に立派な受付ゲートを設けたのに、裏口の倉庫が開けっ放しの状態です。

なぜ起きてしまうのか

特定の開発会社が悪いという話ではなく、構造的に起きやすいのです。

  • 短納期・低予算では「動くこと」が優先され、安全性が後回しになりがち
  • 画面の鍵だけで安心してしまう(発注側も開発側も誤解しやすい)
  • 第三者のチェックが入らないまま公開される
  • 公開後は誰も点検しない(「作って終わり」)

なぜ「今」、特に危ないのか

以前は弱点を攻撃者が手作業で探し、狙われるのは大きなサービス中心でした。しかし近年はAIを悪用して弱点を自動的に探し出す手口が広がり、攻撃は機械的な総当たりに変化。規模や知名度に関係なく見つかった端から狙われるため、「うちは小さいから大丈夫」はもう通用しません。

あなたのサービスは大丈夫?セルフチェック

1つでも当てはまるなら、一度確認をおすすめします。

  • 会員登録・ログイン機能がある
  • 運営者用の管理画面がある
  • 氏名・メール・電話番号・購入履歴などの個人情報を扱っている
  • 外注・委託・短納期で開発した
  • 公開後、第三者によるセキュリティチェックを一度も受けていない
  • 開発した会社・担当者と、今は連絡が取りづらい

どう確認すればいいのか

こうした“よくある抜け”は、ソースコードを見なくても外部から確認できるものがほとんどです。開発会社に依頼し直す必要も、社外秘のソースを渡す必要もありません。大切なのは「うちは大丈夫」と思い込まず、第三者の目で一度見てもらうことです。

おわりに

私たちはWebサイト・システムの開発を行っており、その中で、こうしたよくある設定ミスの無料点検も行っています。「言われてみればうちも当てはまるかも」と感じた方は、まずは外部の目で一度見てもらうことをおすすめします。