全てのFC2利用者に伝えたいカートの件
_____
FC2カートを利用する全ての方に知って頂きたく、このブログを書いています。
FC2カートで販売する方も購入される方も、FC2カートの仕様・問題点・情報保護のSSL設定について知った上で、安全に利用して頂ければと願っております。
■とにかくSSL設定を『ショップ全体』にしよう!!!■
事の経緯を説明する前に、まずはFC2カートで販売されている管理者の方にお伝えしたい。
とにかくSSL設定を『ショップ全体』にしよう!!!
これを設定しておなかいと、『お客様の個人情報が本人以外の他者に閲覧可能な状態』になってしまう危険性があります。
■情報保護設定は簡単(^〇^)でも任意だから何もしないと何も保護されない■
情報保護のSSL設定は簡単です。
FC2カート管理画面→ショップ設定→お支払方法の設定→SSL化の利用→
『ショップ全体で利用する』にチェック!→登録 で完了!!
一見、『個人情報関連ページのみ利用する』でも個人情報保護として十分機能しそうなのですが、私は『個人情報関連ページのみ利用する』にしていても問題が起こりました。
FC2サポートからも『『ショップ全体』設定でなければ回避できない』という趣旨の回答を頂いています。(後程詳細に書きます)
この『ショップ全体』設定はデフォルトではありませんから、管理者が手動で設定する必要があります。
FC2側で自動的にSSL化してくれれば良いのに…と思う所ですが、それが出来ない理由が何かあるのかもしれません。SSLを『利用しない』設定もあるくらいなので。
■ショップのSSL設定をお客様が見分ける方法■
購入者側のお客様からでもカートのSSL設定を簡単に見分けられます。(ご存知の方も多いかと思いますが)
カートにアクセスしたらまずアドレスバーに注目!!
SSL化されたwebページはURLの先頭が『https://~』というアドレスになります。SSL化されていないページは先頭が『http://~』となっています。
一文字しか違いませんが、sが付いていれば情報保護されていて、sが無ければ保護されていない状態です。
またSSL化されているページはブラウザのアドレスバーに鍵マークが表示されたりします。
まずはカートのトップページが保護されている事を確認してください。
トップページが保護されている=カート全体がSSL化されている。という事になりますので安心です。
_____
ここまでは広く伝えたい一番重要なところだけ書きました。
以下は問題の詳細です。長いです。
■2018年9月9日『お客様の個人情報が本人以外の他者に閲覧可能な状態』になる■
FC2カートは無料プランでも多機能で使い勝手の良いサービスのため、利用している方が沢山いらっしゃいます。
私もその一人で、無料プランのFC2カートを使って自分の作品を販売していました。
しかし2018年9月9日に『お客様の会員登録情報が本人以外の他者に閲覧可能な状態になっていた』問題が複数発生し、現在はカートの利用を中止しています。
この件に巻き込まれたお客様には本当に申し訳なく、ご心配とご迷惑をおかけしてすみませんでした…
さて、この件について調査したところ、複数のお客様からこんなご報告がありました。
・自分のIDでログインしたのに他者の情報が表示される。
・自分以外の他者として何故か勝手にログインしている状態だった。
・非会員なのに、会員の他者の情報が表示されていた(ログインしている状態だった)
・googleにカートのURLコピペしてアクセスしようとしたら、googleから警告が出た。
FC2のサポートにこの件を報告したところ、
『SSL設定を『ショップ全体』にして下さい。それ以外の設定では今後も今回のような事態になる可能性があります。これは障害や不具合ではなく、カートの仕様で起こる問題です。』
という回答を頂きました。
FC2カートは2017年4月20日からショップページ全体でSSL化できるようになりました。
この設定は先にお伝えしたように、どの設定を選ぶか管理者に任されいます。
私は恥ずかしながらSSLに対する意識が低く、設定出来るようになっているにも関わらず『ショップ全体』設定にしていませんでした。
私の設定は『個人情報関連ページのみ利用する』になっていたのですが、これはデフォルトなのか自分で設定したのかちょっと記憶が曖昧で分からないです…
しかし情報保護の意識がしっかりあれば、『ショップ全体』を選んでいたと思います。
この点は猛省しております。
またお客様からのご報告にあった『googleにカートのURLコピペしてアクセスしようとしたら、googleから警告が出た』という現象は、最近Googleがセキュリティ強化のためにSSL化していないサイトを警告するようになったため?かもしれません。
この点についてはFC2サポートからの回答はありませんでした。
■こんな事態になった原因は?■
私のカートの使い方は主に以下のような感じでした。
1_カートは常時公開ではなく、販売する日時の前後のみ公開していた。
2_カートで販売する日時をTwitterで流し宣伝。この時カートのURLをツイートにリンクしていた。
3_宣伝のツイートには事前に会員登録できるように、会員登録ページに入る前の『会員登録ページに誘導するページ』もリンクしていた
この、3の『会員登録ページに誘導するページ』にリンクしていた事が原因だとFC2サポートから回答がありました。
『そのページはリンクに適さないもので、そのURLからアクセスした人達に問題が起こった可能性がある』らしいです。
この説明には正直納得しかねるものがあるのですが、これ以上の回答は得られませんでした。
『会員登録ページに誘導するページ』へのリンクは以前から使用していて、2018年9月9日に限った事では無いのです。
しかし問題が起こったのは2018年9月9日だけでした。
またこのリンクURLについてのもっと詳しい内容は
『こちらの情報につきましては悪用される危険もございますので、SNS等の発信はお控えいただけましたら幸いでございます。』
と言われてしまったので、この場ではこれ以上書かないでおきます。
■FC2は危険回避のための情報を提供・公開しない■
問題のきっかけが私のリンクにあるとして、そんな危険があると知っていたら私だって気を付けたのに!カートの仕様で問題が起きると分かっているならマニュアルとか管理者向けのインフォとかに『正しいリンク方法』を載せてくれ!!『ショップ全体』設定についてもっと周知してよ!!!
と思ってその旨をFC2サポートに訴えてたのですが、
『この件を踏まえまして、説明の表示等、改善を検討しております』と言ったきり、問題発生から一か月経った2018年10月9日現在まで全く動きがありません。マニュアルや注意事項も改訂されず変化無しです。
さらに、
FC2サポート『今回のような問題が起こらないように、現在カートの仕様変更を対応中です。』
私『じゃあ仕様変更して改善されたら私に必ず連絡して下さい!!』
FC2サポート『はい分かりました。連絡します。』
というやり取りをして、それからご連絡頂いてません。カートの危険な仕様はまだ健在で改善されて無いという理解で良いのでしょうか…
■実はもっと前から同様の問題は起こっていた?■
今回の件で私のお客様から情報収集していたところ、
『別のFC2カートで似たような事があった。自分とは違う別人としてログインしているような状態だった』という内容の情報を頂きました。
その問題が起きた時期は明確ではないが、購入履歴から考えて2015年11月~2016年10月あたりの期間との事。
この問題は以前から現在まで、FC2カートに内包されているもののようです。
_____
昨日、今日(2018年10月8日・9日)でGoogleとFacebookの情報漏洩・その事実の隠蔽問題が明るみに出ました。
こういった問題はよく起こるため慣れてしまい、ニュースを見ても「またか」とつい思ってしまいます。
しかし『よくある事』にしてはいけない事だと改めて思う次第です。
情報漏洩の原因は様々あると思いますが、なにかしら危険があると分かっていて、それに対処できる術があるなら積極的に公開して広めて欲しいです。
今回私のお客様数名がFC2カートの『仕様の問題』で個人情報漏洩の危機にさらされました。
この『仕様の問題』には現状でも対応策があり、『SSL設定をショップ全体にしておけば防げる事』なのです。
そして原因とされているリンクについても、適切なリンク方法をマニュアルに載せるなりすれば良いだけの話です。
以前から同じような問題が起こっているのだから、やれる事はもっとあるはずだと思います。
FC2のサービスにはかれこれ10年以上お世話になってきました。
今回の件は、そろそろ有料プランにしようかと検討していた矢先に起こった問題でした。(有料プランのメルマガ機能とかを使いたくて)
この問題が起こらなければ…FC2の対応がもっとユーザーに寄り添うものだったら…馴染みのあるFC2カートを離れる理由はありませんでした。
お世話になった分、非常に残念です。
カートの改善が済んだら連絡くれる約束になってますけど、覚えてくれてるかな?
私はまだFC2会員で、退会の予定も無いです。期待してご連絡お待ちしてます。
そして最後に、今回個人情報漏洩の危機にさらされる事になってしまったお客様全員に、改めてお詫び申し上げます。
ご迷惑とご心配をおかけし大変申し訳ございませんでした。
このような事が二度と起こらないよう個人情報の扱いに注意し、より一層努めてまいります。
_____
ずいぶん長くなりました…文章おかしかったり誤字脱字あったらすみません。
ここまでお読みくださった皆様、お付き合い頂きありがとうございました。
FC2に限らず、webサービスを利用する際の一助になれば幸いですm(_ _)m
TOANIA/emita
https://twitter.com/toa_nia
