ラック、ECサイト標的にした攻撃で注意喚起--Linuxサーバも対象に

吉澤亨史

2010-08-20 12:19

 ラックは8月19日、電子商取引(EC)サイトを標的としたクレジットカード情報や個人情報を窃取する攻撃について新たな攻撃対象の特徴や手口の傾向が判明したとして注意喚起を発表した。

 同社の情報漏洩緊急対応サービス「サイバー救急センター」に問い合わせのあった最近の複数の事例で2つの特徴が確認されたという。1つは、攻撃者は検索エンジンを悪用して情報を窃取できそうなサイトを選別しており、「JCB」「VISA」「Master」などのカードブランド名称と、「支払」などのキーワードで検索している。

 サイトのURLにPHPが含まれるサイトも標的としている。従来からの「.asp」や「.aspx」が含まれるサイトも引き続き標的になっている。さらに、検索結果にたとえば「xxxxx.php?code=xxxxx」のようにパラメータが表示されているサイトも標的としていることがわかった。

 もう1つは、従来のWindowsサーバだけでなくLinuxサーバ上で稼動するApacheやPHPで構築されているサイト、そしてこのような環境を活用した低価格なホスティングサービスも攻撃者の対象となっていることもわかったという。これらはセキュリティへの考慮がほとんどなされておらず、その責任の所在も正しく認識されていないとしている。

 同社では、1つめの特徴に該当し、これまでウェブアプリケーション診断を行ったことがない、あるいはウェブアプリケーションファイアウォール(WAF)といったSQLインジェクションなどの攻撃を防御する装置も導入していないECサイトは、すでに侵入されている可能性もあり得る致命的な状態の「警告レベル」であるとしている。

 また、1つめの特徴に該当しなくてもカード情報や個人情報を保持しており、これまでウェブアプリケーション診断を行ったことがない、あるいはWAFなどの装置も導入していないECサイトは、いつ侵入されてもおかしくない危険な状態の「注意レベル」であるとしている。

 警告、注意レベルにあるサイトは、対策方法として「自社サイトのログを確認して不審なものがないか確認する」「並行してウェブアプリケーションの脆弱性に関する鳥瞰検査を受ける」「カード情報を保持している場合は、決済会社と相談して非保持契約に切り替えるか、WAFなどの防御装置の導入を検討する」を挙げている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

  4. クラウドコンピューティング

    生成 AI リスクにも対応、調査から考察する Web ブラウザを主体としたゼロトラストセキュリティ

  5. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]