11月20日ごろ、こんな投稿が世間を賑わしています。
「PayPayのミニアプリ内でUberEatsを使うと他ユーザーの個人情報が閲覧できてしまう」
12月2日現在、UberEatsはこの話を受け、調査を進めているとのことです。
今回は、そんなニュースをもとにどんなバグでそんなことが起こってしまっているのか。
システムエンジニア目線で考察していきます。
では、行ってみましょう!
![ORANGE BLOG オリジナルロゴ](http://orange-yublog.com/wp-content/uploads/2022/02/IMG_0716-e1644487707463-1024x510.jpg)
バグとは?
![](https://orange-yublog.com/wp-content/uploads/2022/12/code-820275_1920-1024x683.jpg)
バグとは、コンピュータープログラムに潜む誤りのことを指します。
バグがあることで、意図した動作とは異なる動きをしてしまうもののことを呼びます。
ゲームの中で壁にぶつかっているはずなのに壁を通り抜けてしまうとか、特定のボタンの連打するとワープするといったことがバグの例になります。
今回はそんなバグがPayPayのミニアプリ内で使用できるUberEatsのアプリで発生したのです。
今回のニュースから状況を整理する
![](http://orange-yublog.com/wp-content/uploads/2022/04/college-student-3500990_1920-1024x682.jpg)
今回のニュースをおさらいするところからいきましょう。
PayPayのミニアプリというのは、PayPayのアプリ画面からUberEatsというボタンをクリックすることで開けるもののことを指しています。
手順としてはPayPayアプリを開いてホーム画面にして、UberEatsというボタンをクリックするという流れです。
これをしたときに自分のメールアドレスのアカウントでUberEatsにログインしているのにも関わらず、他人のアカウントでログインされるというバグが発生したのです。
他人のアカウントで注文履歴や住所などがみれてしまうという点で問題となり、UberEatsはすぐにメンテナンス称してバグの解消に励みました。
他人の個人情報が閲覧できてしまうというバグがPayPayアプリからのUberEatsログインで発生するというものが見つかったのです。
これが今回問題となったバグになります。
12月2日現在、バグ解消のためアプリからUberEatsには入れない状態になっています。
原因について考察する
![](http://orange-yublog.com/wp-content/uploads/2022/05/thinking-2681494_1920-1024x683.jpg)
原因について現役システムエンジニアである僕が、考察していきたいと思います。
実際にPayPayやUberEatsに関わっているわけではないので、あくまで推察であることはご了承ください。
今回の事象はAPIに問題があったと僕は推測しています。
APIというのはURLなどを叩くだけで、欲しいものを手に入れることができるシステム上の作りのことを指しています。
例えば、Googleが公開している「地名→住所」というAPIがあったら、地名と公開しているAPIを使えば、誰でも簡単に住所という情報を取得できるといった仕組みです。
今回問題になっている部分もおそらくこのAPIが使われていて、そしてそこで問題が起こっていたのではないかと思います。
PayPayとUberEatsは独立しているので、UberEats側はPayPay側に対してAPIを公開する、PayPay側は教えてもらったAPIを叩くとユーザー情報を取得して注文までできるという作りにアプリをしたのでしょう。
ですが、このAPIでユーザー情報を取得してくるときにバグが入ってしまったのです。
ある特定のユーザーがこのAPIを叩くと他のユーザー情報を取得してしまう作りになっていたのだと思います。
ユーザー名やメールアドレスで似たようなものがあると間違ったユーザー情報を取得してしまうというイメージです。
このユーザー情報を取得してくるAPI部分にバグがあったために今回の問題が明るみに出たんじゃないかと思います。
対策
![](http://orange-yublog.com/wp-content/uploads/2022/02/PUBGIMGL8327_TP_V-1024x682.jpg)
では、実際に対策するべき事項はあるのでしょうか。
正直、ユーザー側(PayPayやUberEatsを使っている側)は何もできません。
PayPayやUberEatsのシステム部門がバグを修正してくれるまで、待つしかありません。
唯一できることとすれば、アカウントを削除してしまうことくらいでしょうが、あまりおすすめの方法とは言えません。
こういったニュースに敏感になって、もしもアカウントが流出してしまったときにすぐにユーザー名やパスワードを変えたりできるように体制を整えておくことも大事です。
パスワードの使い回しをしていると、こういったときに一気に他のアプリでログインされてしまうということがあります。
PayPayで設定したパスワードでAmazonに入られて勝手に買い物される。なんてこともパソコン業界ではよくある話です。
ITニュースは自分とは関係ないと思えてしまいますが、今の時代、情報というのは宝です。
見つけられたら、悪用されるものという認識で、ぜひ気をつけてください。
容易なパスワードがどれだけ悪いかについては別記事で、紹介していますので、そちらも読んでみてください。
まとめ
![](http://orange-yublog.com/wp-content/uploads/2022/02/book-841171_1920-1024x683.jpg)
今回はPayPayのミニアプリでUberEatsを開くと、他のユーザー情報が見れてしまうというバグについて紹介してきました。
こういったニュースは自分と関係ないように思えますが、情報流出、他のアカウントに侵入されてしまう可能性といった面で、全ての人に関係することです。
ぜひ、敏感になって自分の身は自分で守れるようにしてください。
では、皆さんの情報リテラシーが爆上がりすることを祈っています。
![ブログ運営者写真](http://orange-yublog.com/wp-content/uploads/2022/02/_小さめに加工-e1644538130631-881x1024.jpg)
![](https://www19.a8.net/0.gif?a8mat=3N3YJS+EQH8S2+50+2HQ0V5)
コメント