パイプドビッツは2016年6月、ECサイトを構築できる同社のクラウドサービス「スパイラルEC」が攻撃され、サービス上に顧客が構築したECサイト(顧客ECサイト)の個人情報を含む注文情報が漏洩したと発表した。攻撃者はスパイラルECの公開サーバーを攻撃し、個人情報を盗み出した。
バックエンドに2種のサーバー
スパイラルECは、顧客ECサイトの担当者や顧客ECサイトが直接アクセスするWebサーバー、一部のコンテンツファイルを保存するコンテンツサーバー、個人情報を含む注文情報を保存するデータベースサーバーで構成される▼(図2-2)。
Webサーバーでは、「Apache HTTP Server」がWebサーバーソフトとして動き、HTML▼ファイルやPHP▼プログラムを保存していた。PHPプログラムは、顧客ECサイトの担当者がコンテンツを管理するための画面(管理画面)を提供したり、データベースサーバーと注文情報をやり取りしたりするために使う。
コンテンツサーバーは、HTMLファイル以外の、画像ファイルやCSS▼ファイルなど一部のコンテンツを保存し▼、Apacheのリバースプロキシ▼機能を使って、コンテンツをやり取りしていた。
▼構成される
図にはないが、サービス監視やデータバックアップのサーバーも動いている。
▼HTML
HyperText Markup Languageの略。
▼PHP
Webサーバー上で動的にページを作るプログラム言語の一つ。
▼CSS
Cascading Style Sheetsの略。Webページのデザインフォーマットなどを指定する。単にスタイルシートと呼ぶこともある。
▼一部のコンテンツを保存し
コンテンツサーバーにはほかに、アップロードされたファイルのサイズをチェックするPHPプログラムが置かれていた。
▼リバースプロキシ
Webサーバーへのアクセスを効率的に処理するためにキャッシュしたり、負荷分散したりする。
図にはないが、サービス監視やデータバックアップのサーバーも動いている。
▼HTML
HyperText Markup Languageの略。
▼PHP
Webサーバー上で動的にページを作るプログラム言語の一つ。
▼CSS
Cascading Style Sheetsの略。Webページのデザインフォーマットなどを指定する。単にスタイルシートと呼ぶこともある。
▼一部のコンテンツを保存し
コンテンツサーバーにはほかに、アップロードされたファイルのサイズをチェックするPHPプログラムが置かれていた。
▼リバースプロキシ
Webサーバーへのアクセスを効率的に処理するためにキャッシュしたり、負荷分散したりする。