もう、クリスマスイブじゃん!

今月始めの頃にオーダーしたオイルがまだ届かなくてイライラしている私です。

いくつかのサプライヤーから取り寄せているんですが、ある会社、不手際が多いんです。その会社、はじめに送った荷物は不手際があり送り返されたんです。その後、なかなか送ってくれず、受取って再送手配までに1週間。オーダーからもうすぐ3週間。クリスマス時期でもあり、働きたくないのか。ヨーロッパ人働きたくない性分なのか。

もう一つの荷物も、まだ届かず。

昨日やっと日本に入ってはきたようです。

これも、クリスマス時期の荷物に紛れて、もうしばらくかかるのでしょう。

そんな中、新しくなった私のクレジットカードがまた不正利用されてしまいました。年末年始があるから再発行は年明けらしい(涙)

確実に、この二つの会社のうちのどちらかなんですよ。

会社の人が悪用したとかじゃなく、サイトのセキュリティの問題だと思うの。

会社の規模や、使っているプラットフォームやシステムをじーーーーーっと見つめて、考える事数時間。

だいたい、状況は分かった。気がする。

多分、片方の会社がそんなに大きくなくて、社内でショップサイトを作って使っているサイトシステムのアップデートやチェックをしてないんだと思うの。

世界でよく使われるオープンソースと言われるワードプレスなどは、頻繁にアップデートをしないと、脆弱性をみつけたら、世界中のワードプレスのサイトにアクセスを試みようとする人が、世界中に居るの。

私が、おかしいかもな。と思ったサイトは、MAGENTOという海外で人気のあるショップサイト用の無料のプラットフォーム。アロマシールドがMAGENTOを使っているからその存在は知っていたの。で、調べてみると、やっぱり脆弱性が見つかる度に、すぐに対応の為のアップデートが配布されるのね。

じーっとサイトを見ていたら、その会社、MAGENTOを全くアップデートしてないんじゃないかって思ったの。どうもシステムがちょい古い。で、MAGENTOのセキュリティ情報をネットで調べると、クレジットカードの情報をサーバー経由で盗む事も出来るっぽい。もちろんすぐにMAGENTO側は修正のパッチを出して、サイトの管理者はアップデートをしないといけないんだけど、してない人って意外に多いと思うの。

私も、4~5年前まではアップデートの重要性が解ってなかった。この2~3年は本当に真面目にすぐにアップデートしていますし、怪しいアクセスがあればIPアドレスをブロックリストに入れてアクセスできないようにしています。

アロマシールドのアメリカのサイトは使っちゃ駄目。

本当に、じいさん、ウェブの事解ってなくて、あのサイトは7年くらい前に作ったまま全くアップデートできてない。作った時には結構お金もかかったらしいけど、その後メンテナンスを依頼する事もなく、自分で管理できず、そのままだと思う。

メンテナンスされていないサイトがどれだけ危険か、今回身をもって知りました。

私自身、ウェブサイトを運営して、ショップサイトで収入を得て暮らしている。ひとごとじゃないから、改めて、色々調べました。

 

お店の人に全く悪気はなくても、カード情報盗まれて、悪用される。悪意のある人がシステムに入り込んで何か仕組むらしい。

お店の人は解ってないし、悪気は本当に無い。

その事で、サイトをきちんとメンテナンスしてほしいと先方に伝えたが、ただのクレームだと思われてしまうかもしれない。ましてやクリスマス時期に言われたくないよね。

 

今回、学んだのは、

よくわからない大手じゃないショップサイトにカード情報を直接書き込むのは、危ないのかもと。特に外国。

便利さと共に危険も増える。

でも、便利さを活用しないと生きていけない時代。

本当に、世の中は変わったなぁ、と。特に、私なんて、3~4年キューバにしけ込んでいたしね。

来週、というか今週には荷物が届くと思います。まだ安心はできてないけど、一歩一歩だね。

写真のケーキはイマイチ感動は無かったわ。

 

====そのご===

 

その後も引き続き、独自の調査をしてて、

もう一軒のサイトはセキュリティのしっかりしたツールを使っている事が解りどのサイトが原因か99.99%解りました。

大急ぎで、かくかくじかじかで、私の会員情報を削除してほしいと連絡をしたら、

 

自分は番号を見てもないし、見えないんだ。今までそんな事は無かった。気分が悪い。と逆ギレされました。

↑多分本当にサイトの事が全く解ってないので、いわれのない事を言われたのだと思ったんだと思います。

 

「Magento」上のECサイト改ざんにより、カード情報漏えいやマルウェア感染が発生

多分こういう事だと思う。

 

そもそも、そのショップサイトをよく調べると、会員情報を自分で削除できないんです。何度チェックしてもアカウント削除のリンクやページが無いんです。

 

どうしてそういう事になっているのかというと、私も納得いくまで調べました。

MAGENTOというツールは、会員が自分で情報を削除できるようにするには別売りのアプリの様な物(エクステンション)を入れなくちゃいけないみたい。多分解ってなくてそれすら入れてなかったんだと思う。だから随時配布されるセキュリティのアップデートなんてやってないと思う。

 

アロマシールドのサイトにログインをしてチェックしたら、やはり、アロマシールドもそのエクステンションをインストールしていませんでしたし、セキュリティのアップデートは絶対してないと思う。←この件に関しては、アロマシールドから直接オイルを買った方は、会員情報を削除してもらうように依頼した方がいいかもしれないので連絡をした方がいいかもしれない。私の関係の方で直接買った方は海外の方が殆どなので英語は大丈夫だと思いますが、

Your website says, this website is not secured.  Please delete my account and information form your shopping site and host server.
Thank you.

と書けばいいと思います。

でも、じいさん、自分のサイトにそんなに問題があるなんて思ってないから、私からの嫌がらせだと思うかもしれない。

 

クリスタライズ経由で買った方は、アロマシールドのMAGENTOのサイトにデータを入れてないと思います。発送の際に郵便局のサイトにデータを入れていると思いますが、郵便局のサイトはしっかりセキュリティ対策をしていると思います。

 

クリスタライズのショッピングサイトもより一層、セキュリティへの配慮をして行こうと思っています。