「『GitHub』への不正アクセス発生に関するお知らせとお詫び(第一報)|株式会社マネーフォワード」がひどいと僕の中で話題。
いやー、これはけっこう本当にひどいと思うよ。
ツッコミどころが多すぎるんだけど、個人的に一番最悪だと思ったのは見出し。
『GitHub』への不正アクセス発生に関するお知らせとお詫び(第一報)
ぱっと見でGitHubがやらかして、MFの認証情報が漏洩したのかと思った。しかし調べたがそんな事実は確認されない。
単にMFの管理しているMFの認証情報をMFがやらかして漏洩しただけと思われる。つまり100%MFのせい。それなのにこの見出しはおかしくね。なんか意図あんの?って勘ぐっちゃうよな。GitHubの風評被害。
ってかこれは技術的な原因であって、顧客にとって何があったか、ありうるかじゃない。見出しにするなら顧客への影響を書くべきだ。そんなことわかってるはずだろうに?なぜ書けない?
で、影響として、それでリポジトリの中身を取られた(=漏洩した)らしいんだけど、その内容がまたひどい。
【流出した可能性のある個人情報】
・マネーフォワードケッサイ株式会社が提供する『マネーフォワード ビジネスカード』に関わる370件の「カード保持者名(アルファベット)」および「カード番号の下4桁」
うっそでしょ。決済に絡む個人情報をなんでリポジトリに上げてるの?
ちょっとにわかに信じがたい。新卒が.envを間違ってあげちゃったんすよという話ではなくて、システムとして個人情報をリポジトリ内に組み込んでいたということになる。本番データを上げてテストしていたんだろうか。こんなことしながらPRだのCI/CDだのAIによる自動化だの言ってるのか。
一応クレカ番号の全部をのせてはいないらしい。それがまずいとわかって、なんで名前と下4桁ならOKと思ったのか。というか先の不誠実な見出しといい、どこまで信用していいかわからん。
退会不可避
どこまで信用していいかわからないので、マネーフォワードMEを退会した。
なんで退会理由が「必須」になっていて、なんで解約理由を絶対言わせようとしているの?と思いつつ、今回ほど悩みのない選択項目だったことはない。むしろ見たくないのではないか。
セキュリティ的な懸念があった
今この理由で殺到しているだろう。MFの中で集計されていると思われるKPIにも影響してようやくわかるのだろうか。再発防止策として「個人情報(特に決済情報)はGitHubのリポジトリにアップロードしないのがベストプラクティスです」とドキュメントに書くのだろうか。うーんこれがナレッジ駆動開発。
ちなみにマネーフォワードMEの退会はすぐできたが、マネーフォワードIDなるものがあり、その削除をするにはいつのまにか作られていたものも含めてすべて手動で退会しないといけない。これはけっこう面倒臭い。
自分の場合はクラウド会計かなんかがIDあったようなのだが、事業所の登録すらしてない状態だ。新規で事業所を登録してから退会するという、謎のプレイをした。さらに一度クラウド会計を退会したがそれが反映されないなどよくわからないことも起きた。
その結果、最後に削除できるはずの管理コンソールが先に消えるなど意味不明なことになり、何かしらのエッジケースを踏んだのかもしれない。まぁ退会のフローは大してテストもされていないのだろう。
実際マネーフォワードでんきの退会は、実行するといきなり「お住まいのエリアをせんたくしてください」とモーダルが出てきて「なにごと?」と焦った。しかしブラックアウトした背景をよく見ると「退会が完了しました」とある。つまり機械的にこのモーダルを出すことになっているんだろうが、退会完了直後でも容赦なく出してくるわけだ。
なんか間違えたかと思ったよ。
俺が正当にログインしたことは、不正アクセスよりも重要、らしい
今回の騒ぎで嫌だなと思ったのは、僕がこのニュースを知ったのは例によってSNSでバズっていたからだ。マネーフォワードからはなんの連絡もないと思う。直接被害があるかもしれない人以外にはメールしないということなんだろうか。
でもさ、退会するためにログインしたらログイン通知のメールはきたんだぜ。
※重要なお知らせのため、メールの配信を希望されていないお客さまにも送付しております。
俺が俺のアカウントでログインするのは重要なお知らせなだということだ。これは、不正なログインがあったかどうかを確認するためのものではある。今は多くのサービスで採用している。
しかしその一方で、本当にあった関連サービスの不正アクセスについてメールしないのは何故なの?なんでユーザがログインするだけで潜在的に不正ログインの可能性があるとまで警戒するのに、自分たちがやらかして本当に不正アクセスがあったときにはだんまりなの?なんで?
VPSのConoHaも大規模障害があっても自分とこの掲示板に貼るだけで、一切メール送らなかった。3月の大規模障害はあまりにも酷すぎて、「なんでメールしないんだ」と燃え上がったためか、復旧報だけメールがきた。
なんか最近IT企業こんなのばっかじゃないか。
無責任はSaaSの本質
SNSを見ていると、退会した人が多く見られるわけだが、その中には「次はどこを使えばいいんだ」と難民になっている人がいた。
これについては、「表計算ソフト」が回答になる。自分でできるし、やったほうがいい。ハッキリ言うが手間は大して変わらないどころか、自分のワークフローに最適化するため、楽でかつ高機能だ。
クラウドでやるのがいいなんて、2010年代に作り出されたトレンドであり幻想であり、技術的にも現実的にも筋が悪い。
責任の幻想化はSaaSの本質だ。SaaSで儲けるには、ユーザを1つのデータとして可能な限り軽く扱う必要がある。でないとペイしない。まるで自分の財布のように丁寧に扱っていたら、管理コストが膨らむし効率も悪い。その結果、自分のカード番号だったら絶対やらないようなハードコーディングを、他人のカードで、彼らはやってしまったわけだ。
しかしこれは、期待されていることとは異なる奇妙な逆転だ。AI旋風が吹き荒れ内製化の逆回転が起きSaaS is deadと言われる中で、その反論として「自分でSaaS並のセキュリティ要件を満たすのは不可能」とよく言われる。少なくともこれは事実とは言い難い。どう考えても、自宅のPCで表計算ソフトを使っていれば起きない漏洩だ。
本来的にはクラウドでも慎重な設計と注意深い運用で、相当程度うまくやれるはずだ。しかしどうもそうなってなさそうに見える。恐らく、問題の本質はスケーラビリティだろう。スケールさせるための条件の一つとして、データを抽象化して同じように扱えることがある。それもできるだけ軽く扱えるといい。丁寧な管理はできない。そんなことしたらスケールしない。スケールしないならSaaSの意味がない。
これはソフトウェアに限らず、あらゆるサービスにおいても事業拡大においては起きることだ。通常はバランスが取られる。事故っては元も子もないので、管理コストは上乗せされる。ただそのコストは価格にかかる。価格が一定を超えると、ユーザは「いらない」と思う。
ここで、サービスが利益を得られるために提示する「売値」とユーザの払ってもいい「買値」が乖離すると、取引不成立となる。それは根本的に商売として成り立たないものだろう(そして人手不足倒産へ…)。これは原理的なことで、サービスの種別を問わない。
ここ10年くらいのSaaSは、その乖離を無理やり成り立たせてきたのではないか。それはユーザが「しっかりやってくれているはずだろう」という期待を裏切ることによって。ただ普段は問題にはならない。問題とはそのようなものだ。そしてある日突然、問題は発生する。その時、ユーザはその責任をすべて負うことになる。そのような規約になっている。そして彼らがやるべきことをやっていなかったと知ったときには、もはや何もかも遅い、というわけだ。
資本主義にとっては都合が悪いかもしれないが、自分(や家族)でやったほうが良いことは多くある。それにPCというやつは、本来はそれを助けるものだったはずだ。今一度、金ではなく実体と向き合う時がきている。たとえスケールしなくても。
<関連記事>
コメント