パイプドビッツは2016年6月、ECサイトを構築できる同社のクラウドサービス「スパイラルEC」が攻撃され、サービス上に顧客が構築したECサイト(顧客ECサイト)の個人情報を含む注文情報が漏洩したと発表した。攻撃者はスパイラルECの公開サーバーを攻撃し、個人情報を盗み出した。

バックエンドに2種のサーバー

 スパイラルECは、顧客ECサイトの担当者や顧客ECサイトが直接アクセスするWebサーバー、一部のコンテンツファイルを保存するコンテンツサーバー、個人情報を含む注文情報を保存するデータベースサーバーで構成される図2-2)。

図2-2●情報漏洩の被害に遭った「スパイラルEC」のシステム構成
図2-2●情報漏洩の被害に遭った「スパイラルEC」のシステム構成
スパイラルECは、ECサイトを構築できるクラウドサービス。 Webサーバーとコンテンツを置くサーバー、データベースサーバーで構成される。コンテンツサーバーとデータベースサーバーの負荷を抑えるために、 Webサーバーでリバースプロキシが動く。リバースプロキシは、ユーザーのアクセスを代理応答するサーバー。Webサーバーには、顧客サイトの担当者がコンテンツを管理したり、注文情報を確認したりするためのPHPプログラムも動く。管理機能を使ってコンテンツをアップロードするときは、WebサーバーにはHTTPのPOSTメソッドを使い、Webサーバーからコンテンツサーバーへのデータ転送にはHTTPのPUTメソッドを使っていた。POSTとPUTはどちらも、HTTP通信でファイル転送に使えるコマンド。
[画像のクリックで拡大表示]

 Webサーバーでは、「Apache HTTP Server」がWebサーバーソフトとして動き、HTMLファイルやPHPプログラムを保存していた。PHPプログラムは、顧客ECサイトの担当者がコンテンツを管理するための画面(管理画面)を提供したり、データベースサーバーと注文情報をやり取りしたりするために使う。

 コンテンツサーバーは、HTMLファイル以外の、画像ファイルやCSSファイルなど一部のコンテンツを保存し、Apacheのリバースプロキシ機能を使って、コンテンツをやり取りしていた。

▼構成される
図にはないが、サービス監視やデータバックアップのサーバーも動いている。
▼HTML
HyperText Markup Languageの略。
▼PHP
Webサーバー上で動的にページを作るプログラム言語の一つ。
▼CSS
Cascading Style Sheetsの略。Webページのデザインフォーマットなどを指定する。単にスタイルシートと呼ぶこともある。
▼一部のコンテンツを保存し
コンテンツサーバーにはほかに、アップロードされたファイルのサイズをチェックするPHPプログラムが置かれていた。
▼リバースプロキシ
Webサーバーへのアクセスを効率的に処理するためにキャッシュしたり、負荷分散したりする。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。