編集部からのお知らせ
量子コンピューティングへの注目
特集まとめ:高まるCISOの重要性

危険な管理者ページや外部連携ツール--ECサイトに潜むセキュリティリスクの正体

阿久津良和

2021-10-08 17:37

 EC構築プラットフォームを提供するecbeingは10月7日、ECサイトが抱えるセキュリティリスクに関する記者勉強会を開催した。同社eビジネス営業本部 執行役員 斉藤淳氏は不正注文と情報漏洩が危険を生み出す根幹であり、「情報漏洩は1つの流れでつながっている」と説明する。

ecbeing eビジネス営業本部 執行役員 斉藤淳氏
ecbeing eビジネス営業本部 執行役員 斉藤淳氏

 「ECサイトの脆弱性を悪用して、クレジットカード情報を取得。その情報を元に別のECサイトで商品を購入すると、決済代行企業やクレジットカード企業が支払いを拒否する『チャージバック』が発生する」(斉藤氏)ため、別のECサイトで損害が発生すると指摘する。

原因調査で3カ月停止、数千万単位の損失

 東京商工リサーチの調査結果によれば、2020年上場企業の個人情報漏洩や紛失事故件数は2515万人におよび、事故件数で見ると前年比19.7%増加。原因は約半数がマルウェア感染もしくは不正アクセスだった。また、日本クレジット協会の集計情報によれば、クレジットカードの番号盗用被害件数は223億件と右肩上がりである。

 被害を受けた、あるECサイトは原因を調査するためにサイトを3カ月間停止し、利用者への賠償や株価など影響から「数千万単位の損失と信頼の失墜が発生」(斉藤氏)した。

 ECサイトへの攻撃が後を絶たない理由として、管理者ページにあると指摘する。サイバー攻撃者はECサイトに不正なコードを挿入して、利用者が入力した決済情報を盗み取る「オンラインスキミング」「フォームジャッキング」で個人情報を奪取しているという。

 さらに広告スクリプトやマーケティングオートメーション(MA)ツールといった外部連携ツールもリスクをはらんでいると指摘する。「多くのECサイトは各種ツールとつながって成り立っているが、仮に顧客の購買情報を使用するMAツールで脆弱性が見つかった場合」(斉藤氏)、攻撃の侵入経路になり得ると解説した。

オンラインスキミングのデモンストレーション
オンラインスキミングのデモンストレーション

 ecbeingはホワイトリストを用いて、実行可能な外部連携スクリプトのJavaScriptを制御するコンテンツセキュリティポリシー(CSP)や外部連携ツールのセキュリティチェックシートを提供している。このような対策を講じても、オープンソースソフトウェア(OSS)という落とし穴があると同社は警告した。

 たとえばブログ運営ツールとして有名な「WordPress」だが、「OSSは誰でもサイト運営可能だが、公開される脆弱性情報に追従しなければならない。管理ページURLも周知されているので狙われやすい。経済産業省も2019年12月に注意を喚起している」(斉藤氏)

 同社は前述したセキュリティチェックシートによる確認や管理ページの複雑化、多要素認証やIP制限といった管理ページの保護をうながした。

 ecbeingは不正注文の早期発見と防止から、チャージバックやダイキン未回収などの金銭的損害を削減する「不正検知サービス」、利用するクレジットカード固有のパスワードを設定し、決済時にパスワードを入力する「3Dセキュア」を提供している。「3Dセキュアは画面遷移が増え、スマートフォンに最適化されていない」(斉藤氏)ため、ワンタイムパスワードやモバイルデバイスに対応した「3Dセキュア 2.0」を推奨した。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]