EC運営者がスプレッドシートを使う際に絶対守るべきこと
目次
- インターネットは悪意の巣窟
- 管理がゆるいスプレッドシートで情報流出すると起きること
- 自動ボットの攻撃のログの例
インターネットは悪意の巣窟
ネットショップ運営者の中には、パソコンが苦手な人がたくさんいます。そういう人がスプレッドシートを使うと簡単に事故がおきます。これは実際の例ですが、SP-APIのAPIキーや楽天の顧客情報が書いてあるスプレッドシートが、リンクを知っていれば誰でも閲覧できる状態のまま利用されているという衝撃的な事例に遭遇したことがあります。下記写真のように権限が「リンクを知っている人全員」となっていました。
パソコンが苦手な人はこう考えます。「スプレッドシートのURLは長く複雑な乱数のようになっているので、URLを知っていない人に見えるはずがない」と。このようについ思ってしまうのです。こう考える人はインターネットの危険性をまったく分かっていません。インターネットは悪意の巣窟です。この基本を絶対に忘れてはいけません。
スプレッドシートの複雑なURLは人が見ようとするのではなく、自動ボットがアクセスしようとするのです。疲れも知らず、文句も言わない自動ボットが、虎視眈々とあなたの情報を狙っています。そして自動ボットが見つけたスプレッドシートを、明白に悪意のある人が閲覧して情報を盗むのです。そして彼らは情報を盗んだことを盗んだ相手に知らせません。知らんぷりして、盗み続けるのです。悪意のある人によって作られた自動ボットは24時間365日、ネット中を嗅ぎ回って獲物を探しています。しかも生成AIのおかげで、スキルがない人でも自動ボットを簡単に作れるようになりました。
管理がゆるいスプレッドシートで情報流出すると起きること
制限されていないスプレッドシートにAmazonのSP-APIキーが記述されていると、Amazonで販売中の商品の在庫数を勝手に書き換えたり、あるいはFBAで商品を勝手に出荷したりできます。または、ネットショップの顧客情報ならリスト化して売れます。買う人はいくらでもいます。それがインターネットです。もう一度書きますが、EC運営者はインターネットは悪意の巣窟だということを決して忘れてはいけません。
自動ボットの攻撃のログの例
参考までに悪質な自動ボットがアクセスしてくる例をご覧頂きましょう。下記はあるWebサーバーのログです。そのサーバーに存在しないファイルを次々にリクエストしています。こうやって情報を盗もうとしたり、攻撃の穴を探しているのです。注目すべきは時間です。下記の7回のアクセスはすべて28/Mar/2026:01:55:03 +0900]に実行されています。同じIPアドレスから、7回同時に異なるURLにアクセスするなんて人間にはできません。長くなるので載せていませんが、こんな悪意あるアクセスが延々と何千行も続くのです。どうでしょうか、少しはインターネットが悪意の巣窟であることが分かったでしょうか。
0.000 - - 32.192.198.110 - - [28/Mar/2026:01:55:03 +0900] "GET /documentation.zip HTTP/1.1" 503 592 "-" "Mozilla/5.0 (Windows NT 10.0; Win64 ; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36" "-" 0.000 - - 32.192.198.110 - - [28/Mar/2026:01:55:03 +0900] "GET /docs.zip HTTP/1.1" 503 592 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) Ap pleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36" "-" 0.000 - - 32.192.198.110 - - [28/Mar/2026:01:55:03 +0900] "GET /fonts.zip HTTP/1.1" 503 592 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) A ppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36" "-" 0.000 - - 32.192.198.110 - - [28/Mar/2026:01:55:03 +0900] "GET /general.zip HTTP/1.1" 503 592 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36" "-" 0.000 - - 32.192.198.110 - - [28/Mar/2026:01:55:03 +0900] "GET /designs.zip HTTP/1.1" 503 592 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36" "-" 0.000 - - 32.192.198.110 - - [28/Mar/2026:01:55:03 +0900] "GET /common.zip HTTP/1.1" 503 592 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36" "-" 0.000 - - 32.192.198.110 - - [28/Mar/2026:01:55:03 +0900] "GET /adobe.zip HTTP/1.1" 503 592 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) A ppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36" "-"
スプレッドシートにもこのように大量のアクセスをして、「うまく当たればラッキー」のような感じで情報を盗もうとします。セキュリティの重要性を知らないまま便利だからと使っている人は一定数いるので、大量にアクセスしていればいつかはひっかかるのです。無料な便利なツールやアプリを使う際はくれずれもご注意ください。
