よしだ(男)さんは、フラフラしながらも海外からの直接のアクセスを禁止するよう
手作業で国外のグローバルIPアドレスをブロックするという作業に入った。
よしだは、ログの解析を始めた。
そこでわかったこと。
SQLインジェクションによるDBへのアクセスが行われていたこと。
そして、直接サーバへログインが可能な状態に置かれており、アクセスはすべて社内から本番
サーバへ暗号化なしで接続が行われ、もちろんパスワード認証。
鯖のパスワードは実装以来、一度も変更されていないこと。
せめて、証明書での認証や裏回線での接続くらい考え付かなかったものか。
また、不正クレジットカードの利用も発覚した。
不正アクセスの宝箱やーはっきり言ってもうどこから手をつけたらわからない状態だった。
そもそも課金ポータルサイト自体がクソ実装すぎて、駄目すぎる。
プログラミングができないプログラマの小川さんは、
SQLインジェクション対策を始めた。
こういうとかっこよいが、実は初歩中の初歩の話だ。
一方、よしだは、
応急措置で、本番サーバへアクセスするIPアドレスを新しいものに変更したりもしてみた。
しかし、相手の猛威はすざましい。
すぐに特定されてしまった。
I子先生も頑張っていた。
売り上げ減が見込まれるも、クレジットカードによる課金決済を一時中止。
I子先生は適切な判断をしていった。もはや谷部長はお飾りでしかない。
よしだ(男)さんもアルバイトに降格されたが一生懸命防止策を施していった。
プログラミングができない小川も、勉強しながら実装を行った。
事態は少しずつ沈静化に向かうと思われた。
焦りを顔に出さないが、この一件のすべての責任者であろう谷部長が火に油を注ぐ事になる。
彼が下した指示は、「アイテムの盗難にあった被害者は、
警察に相談するよう返信しろ」だった。
これが、最悪の事態を引き起こす事になる。