Ctripの漏洩の原因：中核ITスタッフはわずか6～7人

Ye Yaming 氏は、Ctrip.com で実行していた急速な技術変革とアップグレードが OpenStack チームに多大なプレッシャーをかけることになるとは想像もしていませんでした。 Ctrip.com の新技術担当副社長は就任以来、技術アーキテクチャ全体に抜本的な改革を実施してきました。

成功も失敗もすべてはXiao Heのおかげです。

Wuyun脆弱性プラットフォームで公開されたクレジットカード決済の「脆弱性」により、野心的なYe Yamingはつまずいた。エクスプロイトのハッシュは bf9165488f5e2ea3ca02ec6b310446b0 です。

しかし、これに先立ち、Wuyun.comは、JD.com、Alipay、NetEaseなど国内の有名インターネット企業が、ユーザー情報のセキュリティ保護においてリスクの高い抜け穴を抱えていることを相次いで暴露している。しかし、Ctripの脆弱性に関する詳細な説明、「クレジットカードで支払ったCtripユーザーの名前、ID番号、銀行カードの種類、銀行カード番号、銀行カードのCVVコードなどの情報がハッカーに読み取られた可能性がある」は、一般大衆の敏感な神経を刺激した。

クレジットカードのこの「衝撃的な抜け穴」は、以前にもメディアによって暴露されたことがある。オンラインOTAウェブサイトでカードやパスワードなしで支払いをすることも業界ではよくある問題だが、それがCtripの破綻の原因となった。

Ctripの技術研究開発部門と情報セキュリティ部門は業界でよく知られています。Ctripが完全に自社で構築したITシステムには、ウェブサイトシステム、オンライン取引システム、調達システム、その他のサブビジネスシステムが含まれています。複雑さの点で、これに匹敵できるのはTaobaoだけです。

しかし、重要なのは、技術研究開発部門と情報セキュリティ部門の間に微妙な駆け引きの関係があるということだ。Ctripの抜け穴は、部門の従業員の偶発的なミスによって生じたように見えるが、実際にはOTA（オンライン旅行代理店）企業間の激しい競争の必然的な結果である。

彼らの説明

オンライン旅行市場は競合企業でひしめき合っている。最大の市場シェアを持つCtripはかつて先駆者として先頭に立って、唯一の支配的プレーヤーとして順調な生活を送っていた。しかし、eLongやQunarなどの競合他社の台頭により、同社の主導的地位は長らく危うくなられていた。ビジネスモデルに関して言えば、Ctripは10年以上前に事業を開始した当初に設立したコールセンターに依然依存して取引量を獲得している一方、古くからのライバルであるeLongはすでに革命を遂げ、オフラインのカード発行チャネルを遮断し、オンライン販売の開発に注力している。

イェ・ヤミンが登場するまで、Ctripは傍観者に留まった。

OTA 業界のリーダーとして、Ctrip は 10 年以上の開発を経て、徐々に独自の堀、つまり強力な IT システムを構築してきました。この中核部門はこれまでずっと謎に包まれていた。ファイナンシャル・ウィークリーの記者は内部関係者を発見したが、その人物はメディアのインタビューを拒否した。その後、ファイナンシャル・ウィークリーの記者はさまざまな情報源に問い合わせ、このあまり知られていない一面を明らかにしようとした。

Ctrip の IT システムは複雑かつ大規模であり、完全に社内で段階的に構築されました。葉亜明氏は就任後、Ctrip でいくつかの重要な技術的改善を達成しました。中国ソフトウェア開発連盟 CSDN の公開情報によると、Ctrip の技術変革とアップグレードは、それぞれフロントエンドとバックエンドで展開されています。ウェブサイトのフロントエンドではページを改訂し、バックエンドではプラットフォームリソースをOpen API（オープンアプリケーションプログラミングインターフェース）の形で公開し、同時にビッグデータ処理のためのデータセンターを設立しました。

クラウド技術は葉亜明にとって単なる試練に過ぎない。彼のより大きな野望は、会社の技術アーキテクチャを革新することです。現在、Ctrip はクラウド コンピューティング プラットフォームである OpenStack をその構築に採用しています。

彼は長期計画を立てている。

Ye Yaming 氏の目には、将来、ワイヤレス ビジネスの成長率はコール センターの成長率をはるかに上回ると映っています。新しいアーキテクチャでは、物理マシンを完全に仮想化できます。例えば、300人増えたら、300台の仮想マシンを作成できます。人数は増えても、管理するマシンの数は変わらないので、効率が上がります。

すべてが順調に進むなら、これはCtripにおける葉亜明の偉大な戦いと見なされるだろうと想像できます。

しかし、『ファイナンシャルウィークリー』の記者が中国ソフトウェア開発連盟CSDNの公開情報を確認したところ、CtripのOpenStackチームの総人数は20人未満で、そのうち中核技術要員はわずか6～7人であり、膨大なコールセンターや無線業務要員に比べればほんのわずかであることがわかった。

1000マイルの長さの堤防もアリの穴によって破壊される可能性があります。

巨大なシステムを構築したのはこの部門だったが、技術スタッフの不注意な操作が原因で、つい最近ハッカーに捕まった。

3月22日午後、Wuyun脆弱性プラットフォームは、Ctripシステムに技術的な抜け穴があり、ユーザーの個人情報や銀行カード情報などが漏洩する可能性があるというメッセージを公開した。その夜11時に、Ctripの技術者が脆弱性を確認した。 23日午前7時、Ctripは脆弱性を修正したことを正式に発表した。

Wuyun.comによると、Ctripはユーザーの支払い処理に使用されるサービスインターフェースのデバッグ機能を有効にしており、カード所有者を確認するために銀行のインターフェースに送信される一部のデータパケットがローカルサーバーに直接保存されるという。

Ctripの広報部は、Financial Weeklyの記者から事件の原因についてインタビューを受けた際、「この脆弱性は、Ctripの技術者がサーバーのシステム問題のトラブルシューティング中に残した一時的なログが間に合わず削除されなかったことによって引き起こされた」と述べた。

技術的な調査に関しては、関連ウェブサイトの技術者がFinance Weeklyの記者に詳細な説明をした。「この点ではすべてのウェブサイトは同様です。ウェブサイトの技術者は、主に潜在的な脆弱性を見つけて修正するために、各サーバーを定期的にスキャンします。一部のウェブサイトは独自にこのスキャンを完了しますが、他のウェブサイトはサードパーティ組織を通じてスキャンし、脆弱性のリストと修正の提案を発行します。」

脆弱性をスキャンするこの部門は、情報セキュリティ部門またはリスク管理部門とも呼ばれます。Ctrip には脆弱性のスキャンとトラブルシューティングを専門に担当する独立した情報セキュリティ部門がありますが、この脆弱性はサードパーティのプラットフォームである Wuyun.com によって公開されました。

Ctripの広報部は記者団に対し、「この情報も暗号化されています。たとえ情報を入手できたとしても、それを読むには解読しなければなりません」と語った。これはハッカーにとって難しい作業ではない。

同じ時期に、Financial Weeklyの記者が別のOTA企業に電話をかけ、Ctripと同様にカードやパスワードなしでウェブサイトで支払いに成功した。同社のCEOは「平文で保管しているのではなく、暗号化して保管している。Ctripのケースも調べたが、具体的な状況はよく分からない」と述べた。当時、支払いをしなかった顧客情報については、顧客の機密情報を7日間保管するという規定はなかった。これもR＆Dおよび監査および法務のリスク管理部門が担当している。

「親指」＋「セメント」

Ctrip事件は氷山の一角に過ぎない。

カードやパスワードを使わないクレジットカード決済は、一般的な現象になっています。 Ctrip.com、Tongcheng.com、eLong.com、Mango.com などの OTA ウェブサイトでクレジットカードで支払う場合、カード番号、有効期限、CVV コードのみが必要で、パスワードやカードは必要ありません。

「カードやパスワードを使わない決済方法は合理的で、業界が定めたものです。ホテル予約やCtripなどのビジネス旅行サイトでよく使われています。原則として、ビジネス旅行サイトはCVVなどの情報を保存すべきではなく、これは規則違反ですが、銀行はサイトがそうしているかどうか知りません」と中国中央銀行クレジットカード部の事務員である肖瑞娟氏は金融週刊の記者に語った。中国招商銀行のクレジットカード専門家もこの声明を確認し、この決済方法を使用するチャネルは多数あり、現時点では完全なリストを提供することは不可能であると述べた。海外のウェブサイトでの取引のほとんどは、カード番号、カードの有効期限、裏面の下3桁を使用して完了できます。ただし、一部の Web サイトで MasterCard または VISA の検証サービスが必要な場合は、検証のためにクエリ パスワードの入力を求められます。

しかし、Ctripのミスは、CVVコードなどの顧客の機密情報を違法に保存したことであり、これは明らかに中央銀行の規制に違反していた。

中国人民銀行の「銀行カード加盟店業務管理弁法」第28条によれば、加盟店は銀行カードの磁気トラック情報やチップ情報、カード認証コード、カード有効期限、個人識別コードなどの機密情報をいかなる形でも保管してはならない。認定された販売業者やアウトソーシングされたサービス機関が機密性の高い銀行カード情報を保管することを防ぐために、効果的な対策を講じる必要があります。

これに関して、CtripはFinance Weeklyの記者に次のように語った。「取引が完了したら、顧客のCVV情報を削除し、保存しません。以前保存されていたCVV情報は削除されます。一度保存されたクレジットカード情報は、送信中および保存中に常に暗号化されており、権限のない人がこの情報を入手することはできません。」

しかし、なぜCtripは規制に違反し、顧客の機密性の高いクレジットカード情報を保存したのでしょうか?

「情報を記録する際には、さまざまなレベルの考え方があります。ユーザーの利便性もその1つです。デバッグを行うのも私たちにとって便利ですが、他にどのような具体的な目的があるのか​​を知ることは困難です。Ctripがユーザーのカードを盗むことはないことは確かです。論理的に言えば、これらの有名な決済関連ウェブサイトは信頼でき、ユーザーに害を及ぼすようなことはしません。一部の規制が適切に施行されていないだけで、これは彼らの仕事のミスです。」中国で初めてウェブサイトのセキュリティクラウド監視とクラウド防御を提案した北京ノウセックの研究部門ディレクター、于賢氏はファイナンシャルウィークリーの記者に語った。

Ctrip の脆弱性は、開発者がデバッグを有効にしたために、情報漏洩につながる可能性のある一時的なログが残されたために発生しました。デバッグを有効にすることは開発者にとって何を意味するのでしょうか。「プログラム開発中にデバッグを有効にすると、プログラマーは支払いプロセス全体の問題をより正確に特定できるようになり、ビジネスの改善に役立つ可能性があります。新製品の開発だけでなく、既存の支払いプロセスにもバグなどの論理的な欠陥がある可能性があります。デバッグは、プログラマーや開発者が作業をさらに改善するのに役立ちます。」と Yu Xian 氏は説明しました。

これには、R&D 部門とセキュリティ部門の間によくある矛盾が伴います。つまり、開発者はビジネス ニーズを満たすためにセキュリティを無視する可能性があります。セキュリティ部門は開発者に特定のセキュリティ標準を実装することを要求する場合があります。ただし、これらの標準を実装すると開発の進行に影響する可能性があります。 「両部門は互いに補完し合っている。うまく協力し合えていれば、Ctrip事件は起きなかっただろう」と于賢氏はファイナンシャル・ウィークリーの記者に語った。

このため、一部の業界アナリストは、Ctripのユーザー情報漏洩事件は、無線研究開発の急速な進歩によって引き起こされた可能性があると考えています。かつてCtripを訪問したDianping.comの技術部門責任者も、Ctripの製品開発とアップデートのスピードに感心したと語った。 Ctripの梁建章CEOが昨年復帰後、最初に注力したのは「Thumb + Cement」戦略を打ち出すことであり、モバイルインターネットにさらに多くのリソースを割り当て、最新かつ豊富な観光商品をまずモバイル分野で試した。梁建章氏は、ワイヤレスクライアントに代表されるモバイルインターネットがCtripが突破するための重要なポイントになるだろうと述べた。そのため、Ctrip では、ワイヤレス事業は「第 2 のベンチャー」とも呼ばれています。

しかし、ユー・シアン氏は、これは市場競争とはほとんど関係がないと考えている。「これは開発者のセキュリティ意識に関係している」とユー氏は語った。

「エッジボール」遺伝子

業界ではカードやパスワードなしの支払いが当たり前なので、クレジットカード決済のこの「抜け穴」は以前からメディアで暴露されてきましたが、なぜCtripの「抜け穴」はこれほど注目され、議論を呼んだのでしょうか。

「第一に、これは国民の財産に関係しており、ユーザーはそれを非常に気にしています。第二に、クレジットカードは迅速な支払いに非常に便利です。銀行カードとは異なり、クレジットカードはパスワードさえ必要ありません。第三に、この件には多くのブラックな宣伝が含まれており、無責任に誇張され、拡大されています。ここ数日でクレジットカードが盗まれた人の話を聞きましたか？」と于賢氏は記者に尋ねました。セキュリティ界の一員として、彼はハッカーがクレジットカードを盗んで誰もが知っていることを大げさに宣伝することは決してないと率直に述べました。

オンライン旅行市場のリーダーとして、Ctrip は幅広いユーザーを抱えています。 Ctripでチケットを予約する人の数は1日あたり約80万人と報告されています。

2012年にeLongがCtripを挑発し、国内OTA価格戦争を引き起こして以来、Ctripはさまざまな小規模OTA企業の共同包囲網に受動的に巻き込まれてきました。この戦争に相次いで参加した企業には、eLong、Tongcheng、Qunar、Mango TVなどがあります。

1年以上にわたる激しい競争を経ても、OTAの状況は変わっていません。 Ctripは損失を被ったものの、依然として最大の旅行代理店としての地位を維持しており、2013年の財務報告は非常に印象的だった。報告書によると、Ctripの2013年の純営業利益は54億元（約8億9000万米ドル）で、2012年より30％増加した。 2013年、eLongは過去最高の1億6800万元の純損失を記録した。

実際の金銭を絡めた価格戦争に加え、言葉の戦争もほとんど止まっていません。今回のCtripの低レベルのミスは、反撃するまれな機会だ。

業界全体の競争環境を別にすれば、Ctrip の「ルールを軽視する」という遺伝子が、すでにこの事件の土台を築いていたのかもしれない。一見偶然の出来事のように見えるこの事件も、その必然性を浮き彫りにしている。

Ctripは「違反」から生まれました。 10年前、業界の観点から見ると、地域をまたいで航空券を購入することは規制違反でしたが、Ctripはあえて全国規模のオンライン航空券予約プラットフォームを立ち上げました。 「この違反は、ビジネスルールの未熟さの表れです。改革の理由は、合法的に見えても実際には違反であるこれらの不合理なものを排除することです。Ctripは10年前にそのようなブレークスルーを達成しました。」Ctripのクレジットカード決済の抜け穴の前日、CEOのファン・ミンは公にこう語った。

ファン・ミンをより大胆にしているのは、この「甘さ」だ。

関係者によると、2009年以前はCtripのサーバーはユーザーのCVVコードを保持しておらず、ユーザーは航空券を購入したりホテルを予約したりするたびにCVVコードを入力する必要があった。しかし、2009年にファン・ミンは運用プロセスを簡素化し、顧客体験を最適化するために、CVVコードをCtripのサーバーに保持することを決定した。

どうやら、当時のファン・ミン氏の決断こそが、今日の「抜け穴」に潜む危険を生み出したようだ。

この事件に関するCtripの最新の決定は、「規制当局の要求に従って、できるだけ早くユーザーの支払いプロセスを最適化し、改善します。あらゆる抜け穴の可能性について社内調査を強化し、国内の著名なネットワークセキュリティ専門家を招いてCtripのシステムについて相談します。同時に、規制要件をより適切に満たすために、CFCAおよびPCI認証手続きを開始しました。」というものです。

問題は、Ctrip が以前から認証プログラムにアクセスするつもりだったが、社内のスタッフが調査したところ、業務の種類が多く重複部分が多いため、Ctrip 独自のシステムを全面的に改修するのは困難すぎることがわかったことです。システムにアクセスして全面的に改修すると、アーキテクチャが変わってしまい、これまで CFCA および PCI 認証標準を導入できなかったのです。

「しかし、PCIは法的規定ではありません。決済カード大手が自ら設定した仕様に過ぎません。PCIに合格しても、ユーザーの機密情報を保存できるわけではありません。国内規制にも準拠する必要があります」と、PCI-DSSの中国パートナーである北京航空航天易展のスタッフはファイナンシャル・ウィークリーの記者に語った。

次に、Ctrip は PCI-DSS 標準の導入という技術的な課題だけでなく、安全な支払いに対する信頼を再構築し、消費者の信頼を取り戻す方法という問題にも直面しています。

原題: Ctrip の情報漏洩の原因: 中核 IT スタッフはわずか 6 ～ 7 人

キーワード: 漏洩事故、Ctrip