Amazon輸入ビジネス

アメリカMWS APIの審査も厳しくなった?セキュリティを気にしているようなのでAsinStockerのセキュリティについて説明

投稿日:

タイトルの件です。

ブログ読者様よりセキュリティに関するご質問を複数いただきましたので、ブログ記事にて回答したいと思います。

なぜブログでの回答なのか?というと、どうやらUS MWS APIの申請すら最近審査が厳しくなってきたようで、同じようにセキュリティに関して質問されることがこの先もあるだろうと判断したためです。

AsinStockerのセキュリティ

リサーチ結果(ストックしたASIN)が漏洩することはないか?

AsinStockerにはASINをAmazonサーバ以外に送信するような機能は存在しません。

AsinStockerがアクセスする外部サーバは下記になります。

  • Amazonサーバ
  • 運営者オリジナルのライセンス&お知らせ通知サーバ

ほぼAmazonサーバへのアクセスのみです。

WireSharkなどパケット解析ツールを利用し、トラフィックを監視することでASINの不正送信が行われていないことが確認できるかと思います。

信用できない!

という場合には専門家に依頼しても構いません。

APIキー(アクセスキー、シークレットキー)が漏洩することはないか?

AsinStockerにはAPIキーをAmazonサーバ以外に送信する機能は存在しません。

AsinStocker内でアクセスキー、シークレットキーを保存していますが、RSAにて暗号化しています。

たとえば、AsinStockerを保存したAPIキーごと外注さんなどに渡してしまったとしても、AsinStocker以外に使うことはできません。

RSAって何?

暗号化アルゴリズムの1つ。コンピュータが桁数の多い素因数分解を行うのが困難なことを利用した固めの暗号化技術。公開鍵暗号方式に使われるのが一般的。だからといってキーを公開しているとかではないですからね?あくまでも暗号化アルゴリズムの1つであり、キー保存用途に転用しているだけです。

自分のショップから購入した顧客の情報が漏洩することはないか?

MWS APIと一言で言ってもその中身は13のセクションで分かれています。

AsinStockerが利用しているAPIはその中の商品APIのみです。

商品APIは顧客情報を取得することはできません。

よって、顧客情報が漏洩することはありません。

自分のショップの注文履歴が漏洩することはないか?

上述したようにAsinStockerが利用しているAPIは商品APIのみです。

商品APIは注文情報を取得することはできません。

よって、注文情報が漏洩することはありません。

AsinStockerがインターネット通信を行う内容は暗号化されているか?

運営者オリジナルサーバ(ライセンス認証 & お知らせサーバ)への通信について近日中にSSL化します。すみません…。

ASINやAPIキーのやりとりはしていませんのでご安心ください。

AsinStockerがAmazonサーバへアクセスする通信内容は暗号化されているか?

基本的にAmazonサーバへのアクセスはAmazonが提供するクラスライブラリを使用しています。

完全に解析しているわけではありませんが…

APIキーをタイムスタンプでSHA256使って署名を生成しているように見えます。

タイムスタンプって何?

時間。PCに設定されている時間。Amazonサーバとつながらない時、PCに設定されている時間がずれていると認証失敗するのはこれのため。

SHA256って何?

ハッシュ生成アルゴリズムの1つ。ハッシュとは一言で言うなら『非可逆的な暗号化文書』です。一度暗号化したら複合できない暗号化。自分とAmazonはAPIキーを知っているから自分とAmazon間はハッシュを使って通信する。お互いハッシュを作って同じハッシュが出来上がるなら正しいAPIキーと判断する、みたいな。要はなりすまし、改ざん検知。

アプリは改ざんされないか?

AsinStocker自体も署名を行っています。署名なので改ざん検知です。

もしアプリが不正に改ざんされていた場合には起動できません。

Amazonの審査から思うこと

Amazonは下記を気にしている模様。

  • APIの利用は販売目的として適切に扱われているか?
  • APIを利用することで顧客や注文情報が漏洩することはないか?
  • 問題をすぐに検知するためにもログはしっかり保存しているか?

AsinStockerであればほぼ問題になることはないでしょう。なぜなら商品APIしか使ってないから。

リサーチのためにAPI使いたいです!

なんて言おうものならきっと審査は通らないはずです。keepaなどのAmazonデータを使ったサービスを作るためのAPI利用はたぶんNGです。

ログ保存についてはどのPCでもデフォルトでされています。

  1. デスクトップ左下Windowsマークを右クリック。
  2. イベントビューアを選択。
  3. WindowsログのApplication、セキュリティ、システム、この3つのログが保存されてればOK。

なんといってもAsinStockerはローカルPC上で動くスタンドアロンなアプリですからね!まぁ外部からクラックされるということはまずありえません

世の中の危ないツールたち

ランサーズやクラウドワークスでツール開発依頼をする人は多いと思います。

その時開発者から、

APIキー貸してください

と言われることもあるでしょう。

APIキーを渡すということはセラーセントラルへのログインIDとパスワードを通知するようなものです。

開発依頼をするなら別途APIキーを取得してもらいましょう。なんなら費用も渡して。

また、特別な事情がない限りツールはWindowsアプリにすべきです。

よくwebアプリにする人がいますが、エンジニアのレベルがどの程度か見えないため危険です。

webアプリにするってことはAPIキーをワールド・ワイドな共有フォルダに保管することと同じ

にわかな知識でそんなことされたらたまったもんじゃありません。まぁ最近の世の中はweb屋さんが多いので仕方がないことかもしれませんが。

プライスターやマカドといった、それなりの規模の企業が作るアプリ以外は使わないほうが良いと思います。

さらに言うと、どんなアプリを作るか解析ができないかもしれません。ソースコード見せてもらえないかもしれないし、見たところでわからない。もしかしたら不正にASINをどっかに送信する機能を作り込んでいるかもしれません。

専門家に解析するにしても、サーバ側の動作を解析するのは困難です。ソースコードは必須なのですが、開発者はソースコードを開示したがらないことが多いです。

AsinStockerの場合はPC上で動くため、ソースコードを開示せずともWireSharkというパケット解析ツールを使えば不正な動作をしているかどうかを調査することができます

下手にツール開発依頼したりするよりも既成品使ったほうが安全ですよ

ってことです。

何度か書いてきましたが、わたしが作るツールにはやましい処理は一切入れていないです。

いついかなるタイミングでパケット解析されても大丈夫っていう自信があります。

まとめ

アメリカのProduct Advertising APIの締め付けが厳しくなり、審査が通りにくくなりました。

その結果、今度はアメリカのMWS APIを使おうとする人が増えているのでしょう。

しかし、そのせいで今度はアメリカMWS APIの利用について審査が厳しくなってきたようです。

焦らせてしまうようで申し訳ないのですが、輸入ビジネスをやるならアメリカMWS APIは早めに取得しておくことをおすすめします。

月額39ドル程度の費用がかかってしまうのですが、これをケチったばかりに一生手動リサーチになってしまう可能性もあります。

ツールを使ったリサーチと手動リサーチではスピードが180倍は違います。(ツールは1時間で約1,8000件、わたしの手動は1時間で100件、なので180倍)

ここを投資できるかどうか、稼げる人と稼げない人で分かれるポイントです。

スポンサドリンク




スポンサドリンク




-Amazon輸入ビジネス
-,

Copyright© 自作ツールと輸入ビジネス , 2018 AllRights Reserved Powered by AFFINGER4.