タイトルの件です。
ブログ読者様よりセキュリティに関するご質問を複数いただきましたので、ブログ記事にて回答したいと思います。
なぜブログでの回答なのか?というと、どうやらUS MWS APIの申請すら最近審査が厳しくなってきたようで、同じようにセキュリティに関して質問されることがこの先もあるだろうと判断したためです。
AsinStockerのセキュリティ
リサーチ結果(ストックしたASIN)が漏洩することはないか?
AsinStockerにはASINをAmazonサーバ以外に送信するような機能は存在しません。
AsinStockerがアクセスする外部サーバは下記になります。
- Amazonサーバ
- 運営者オリジナルのライセンス&お知らせ通知サーバ
ほぼAmazonサーバへのアクセスのみです。
WireSharkなどパケット解析ツールを利用し、トラフィックを監視することでASINの不正送信が行われていないことが確認できるかと思います。
という場合には専門家に依頼しても構いません。
APIキー(アクセスキー、シークレットキー)が漏洩することはないか?
AsinStockerにはAPIキーをAmazonサーバ以外に送信する機能は存在しません。
AsinStocker内でアクセスキー、シークレットキーを保存していますが、RSAにて暗号化しています。
たとえば、AsinStockerを保存したAPIキーごと外注さんなどに渡してしまったとしても、AsinStocker以外に使うことはできません。
RSAって何?
自分のショップから購入した顧客の情報が漏洩することはないか?
MWS APIと一言で言ってもその中身は13のセクションで分かれています。
AsinStockerが利用しているAPIはその中の商品APIのみです。
商品APIは顧客情報を取得することはできません。
よって、顧客情報が漏洩することはありません。
自分のショップの注文履歴が漏洩することはないか?
上述したようにAsinStockerが利用しているAPIは商品APIのみです。
商品APIは注文情報を取得することはできません。
よって、注文情報が漏洩することはありません。
AsinStockerがインターネット通信を行う内容は暗号化されているか?
運営者オリジナルサーバ(ライセンス認証 & お知らせサーバ)への通信について近日中にSSL化します。すみません…。
ASINやAPIキーのやりとりはしていませんのでご安心ください。
AsinStockerがAmazonサーバへアクセスする通信内容は暗号化されているか?
基本的にAmazonサーバへのアクセスはAmazonが提供するクラスライブラリを使用しています。
完全に解析しているわけではありませんが…
APIキーをタイムスタンプでSHA256使って署名を生成しているように見えます。
タイムスタンプって何?
SHA256って何?
アプリは改ざんされないか?
AsinStocker自体も署名を行っています。署名なので改ざん検知です。
もしアプリが不正に改ざんされていた場合には起動できません。
Amazonの審査から思うこと
Amazonは下記を気にしている模様。
- APIの利用は販売目的として適切に扱われているか?
- APIを利用することで顧客や注文情報が漏洩することはないか?
- 問題をすぐに検知するためにもログはしっかり保存しているか?
AsinStockerであればほぼ問題になることはないでしょう。なぜなら商品APIしか使ってないから。
なんて言おうものならきっと審査は通らないはずです。keepaなどのAmazonデータを使ったサービスを作るためのAPI利用はたぶんNGです。
ログ保存についてはどのPCでもデフォルトでされています。
- デスクトップ左下Windowsマークを右クリック。
- イベントビューアを選択。
- WindowsログのApplication、セキュリティ、システム、この3つのログが保存されてればOK。
なんといってもAsinStockerはローカルPC上で動くスタンドアロンなアプリですからね!まぁ外部からクラックされるということはまずありえません!
世の中の危ないツールたち
ランサーズやクラウドワークスでツール開発依頼をする人は多いと思います。
その時開発者から、
と言われることもあるでしょう。
APIキーを渡すということはセラーセントラルへのログインIDとパスワードを通知するようなものです。
開発依頼をするなら別途APIキーを取得してもらいましょう。なんなら費用も渡して。
また、特別な事情がない限りツールはWindowsアプリにすべきです。
よくwebアプリにする人がいますが、エンジニアのレベルがどの程度か見えないため危険です。
にわかな知識でそんなことされたらたまったもんじゃありません。まぁ最近の世の中はweb屋さんが多いので仕方がないことかもしれませんが。
プライスターやマカドといった、それなりの規模の企業が作るアプリ以外は使わないほうが良いと思います。
さらに言うと、どんなアプリを作るか解析ができないかもしれません。ソースコード見せてもらえないかもしれないし、見たところでわからない。もしかしたら不正にASINをどっかに送信する機能を作り込んでいるかもしれません。
専門家に解析するにしても、サーバ側の動作を解析するのは困難です。ソースコードは必須なのですが、開発者はソースコードを開示したがらないことが多いです。
AsinStockerの場合はPC上で動くため、ソースコードを開示せずともWireSharkというパケット解析ツールを使えば不正な動作をしているかどうかを調査することができます。
ってことです。
何度か書いてきましたが、わたしが作るツールにはやましい処理は一切入れていないです。
いついかなるタイミングでパケット解析されても大丈夫っていう自信があります。
まとめ
アメリカのProduct Advertising APIの締め付けが厳しくなり、審査が通りにくくなりました。
その結果、今度はアメリカのMWS APIを使おうとする人が増えているのでしょう。
しかし、そのせいで今度はアメリカMWS APIの利用について審査が厳しくなってきたようです。
焦らせてしまうようで申し訳ないのですが、輸入ビジネスをやるならアメリカMWS APIは早めに取得しておくことをおすすめします。
月額39ドル程度の費用がかかってしまうのですが、これをケチったばかりに一生手動リサーチになってしまう可能性もあります。
ツールを使ったリサーチと手動リサーチではスピードが180倍は違います。(ツールは1時間で約1,8000件、わたしの手動は1時間で100件、なので180倍)
ここを投資できるかどうか、稼げる人と稼げない人で分かれるポイントです。