• 2020/10/07
  • 連載企画
  • グロースハッカー佚

『グロースハッカー佚』(第23話)【試練】

article-image
新連載企画『グロースハッカー佚』。BtoBマーケティング会社に中途入社した八月一日 佚(ほずみ てつ)。前職ではプロモーターとして勤務していた小さな音楽レーベルを1人でメジャーレーベルにまで成長させたキャリアを持つ26歳彼女の誰も思いつかないような独創的な発想は果たしてBtoBマーケティング会社でも通用するのか。会社のブレーンとして様々な企業課題に立ち向かう彼女と会社の成長を追ったストーリー小説。

コロナ禍でリモートワークが続く中、前回久々に新規事業の話し合いで出社した佚のチーム。長時間にわたる話し合いの末、方向性や各自の役割が決まり、いよいよ本格的に始動した新プラットフォームサービス開発。それから更に1ヵ月後、チーム全体のモチベーションが最高に上がっていた矢先、会社に過去最大の試練が訪れる。


『グロースハッカー佚』(第22話)はこちら

試練

柳爪テッサン、おはよう!


佚おはようございます


柳爪実際に会うの、また1ヵ月ぶりですね!


佚そうですね


川門2人とも、おはよう


佚おはようございます


柳爪おはようございます


川門坂西のYouTube見た?めちゃめちゃバズってるじゃん!


柳爪え!本当ですか?!


川門しばらく見てなかったんだけど、昨日お勧めに出てきてビックリした


柳爪この『片思いの相手をマーケティングスキルで落としてみた』って動画ですか?凄い!めっちゃ見られてる!


川門そうそう、まだ2日しか経ってないのに10万再生超えてるし。てか、あいつにこんな企画力と編集スキルあったんだな。これ絶対にプロの編集に頼んでそうだけど


柳爪テッサンも、もう見ましたか?


佚はい、人気出ていてよかったですね


川門ん?これってもしかしてテッサン噛んでる(絡んでる)? なんか前に相談受けてたよね?


佚はい、多少


川門やっぱそうか! 羨ましいなぁ。あいつもう2ヵ月もこっち休業してるのに、これで結構お金入ってくるんでしょ?いいよなぁ


佚まだそんなには入らないと思いますよ。これからじゃないですか


川門無償で手伝ってやったの?テッサンにメリットなくない?あいつに調子に乗らせたら、たぶんもう会社に戻ってこなくなるよ


佚そうですね。でも、もしかしたらチームにとって何かメリットがあるかもしれません


川門あいつケチだから絶対に稼いでも俺らに一銭もくれないと思うよ


柳爪



類巣川門さん!これ見て貰えますか?


川門ん?どうした?


類巣今朝から立て続けに問合せメールが着てて。 昨夜から会員がログインしようとするとパスワードが一致しませんって表示されるみたいで。


川門バグ出てるのかな。管理画面上で確認した?


類巣したんですけど特におかしいところはなくて


川門何通問い合わせ着てる?


類巣3通です


川門そんなもんか。多分サーバー側でエラー起きてるのかな。その辺りは柿島さんじゃないと分からないや。まだ来てないんだっけ?


類巣柿島さん、今日は有給(休暇)ですよ


川門そっかぁ。じゃあ明日対応かな。一応問合せしてきたユーザーには確認する旨を送っておいて


類巣わかりました


柳爪大変ですね


川門いや、大したことないよ。前もあったんだよね。ログインエラー。一応横さんにも後でグループウェアで伝えておくよ


佚問い合わせあったのはどのサービスですか?


川門うちの会社が運営してるメディアだよ。会社って言ってもほぼ我々のチームが管理してるんだけどね


佚確かそのサーバーにIPS/IDS入ってましたよね?


川門ちょっと良く分からないけど取り合えず柿島さんが管理してるから確認してみないと


佚至急確認した方が良いかもですね


川門いや、休暇中は流石にできないから明日かな



ピピピッ



横はい


佚お疲れ様です。八月一日です


横珍しいな。テッサンが社内携帯に掛けてくるなんて。


佚すみません、スケジュールで11時まで訪問となっていたので、このタイミングなら大丈夫かなと思い連絡しました


横おう、ちょうど終わって今から会社戻るところだよ。なにかあった?


佚今朝メディア会員から立て続けに問合せが着てる件で


横あぁ、朝見たよ。川門出勤してるんでしょ?対応するって言ってなかった?


佚はい、ですが、この件至急対応した方が良さそうです。確認したかったのはサーバーなのですが、IPS/IDSやWAFも会社のものはホスト型でしたよね?メディアのその辺りの管理体制はどうなっていますか?


横柿島さんが担当してるけど、確かWAFまでは入ってなかったんじゃないかな。いや、IPS/IDSも未だかも


佚セキュリティ研修の時にこの会社では入れているとお聞きしました


横おそらく、どこかのチームで部分的に入っているだけかと。戻って確認してみないと分からないけど


佚分かりました。至急アクセスログの確認をした方が良いと思います


横分かった。戻ったら情シスにも言って確認してもらうよ



佚川門さん、さっき前にも同じようなことがあったと仰ってましたが、それはいつ頃か分かりますか?


川門多分半年くらい前じゃなかったっけな


佚その時にアクセスログのチェックはやられましたか?


川門柿島さんが多分やってたと思うけど、特に異常は見当たらなかったんじゃない?


佚オウンドメディアって月間どれくらいのアクセスがありましたっけ?


川門50万PVくらいかな


佚会員数は?


川門8000アカウントくらい


佚そうですか…もしかしたら、結構まずいことが起きているかもしれません


川門ん?何が?


佚どこかに個人情報が漏れてしまっている可能性があります


川門え?!なんで?


佚特定のユーザー複数人にログイン時パスワード違いが表示されるということは本人が知らないところでパスワード変更されている可能性があるということ。つまり第三者が入り込んだ可能性があります


川門でもさっき類巣と自分も確認したけどそのユーザーのデータベース上では変更されてる形跡はなかったけど?だから単にバグが起きてるだけでしょ


佚今朝、問い合せがあった3人は全員有料会員ですよね?


川門そうみたいだね


佚まだ私の憶測にすぎないので何とも言えませんが最悪なケースも想定してこの後の行動を取った方が良いかもしれません


川門そうなの?一応、横さんにも連絡した方が良いかな?まだ、してなかったんだけど


佚先ほど私から伝えておきました。戻り次第情報システムに確認するそうです


川門そっか、俺はどうしたら良い?


佚管理画面上で何か異変が起きてないか分かる範囲でチェックしてください


川門OK



類巣八月一日さん、ちょっと


佚はい


類巣コード分かるんでしたっけ?これなんですけど


佚ちょっと席借りて良いですか


類巣はい、どうぞ


カチカチカチッ


佚。。。。。。。。


カチカチカチッ


類巣何か分かりますか?


佚類巣さんのテストID教えて頂けますか?


類巣Testruiです。パスワードは、えっと


佚パスワードは無くて大丈夫です


カチカチカチッ


類巣あれ!自分のパスワード入れなくてもログインできてる!


佚バインド機構とサニタイジングの組み合わせが一応されているようですが、SQL文を構築しようとする全ての箇所に適切なエスケープ処理が行われていないみたいです


類巣


佚つまり攻撃者が簡単に会員の管理画面に入れるという事です


類巣という事は?


佚情報漏洩している可能性が高いという事です


類巣でも管理画面上に入れても、パスワードの確認はできないですよ。自分でも見れないようになってるんで


佚この部分を見てください。 Adminの隣のJ8SU3BZFS4RMB82D。これは単にハッシュ化されているだけなのでいくつかの解読手段を使えば簡単に分かります


カチカチカチッ「XXXXsecret」


類巣ほんとだ…!これはまずいな…横さんに早く伝えないと




次回『グロースハッカー佚』お楽しみに!


会員限定で『グロースハッカー佚』最新号をいち早くお届け!
登録はこちら!

マーケタースキル診断公開中!!

関連記事

検索条件を変更する

フリーワード

記事カテゴリ
タグ