/// EC セキュリティ対策 情報漏えい対策

情報漏洩
セキュリティの脅威の例として、2013年某ECサイトが狙われクレジットカードの情報が漏洩してしまった事例としてあげられる。ECサイト運営者としてはクレジットカードを保有していなければ大きな脅威になりえないと考えているかもしれないが今回の例はECサイトのDB(データベース)にはクレジットカード情報を保有していないにも関わらずカード情報が漏洩した。しかもセキュリティコードさえも情報漏えいしていたという事例が発生した。
ECサイトのセキュリティ対策

「クレジットカード情報を保有しない」


セキュリティ上、ECサイトを構築するにあたりリスク回避の方法として、そもそもクレジットカード情報を保有しない設計にするケースがある。仮に攻撃を受けたとしても金銭に直結するクレジットカード情報はDB(データベース)に保存していないので情報漏えいのしようがない。
クレジットカード情報漏洩
ECサイトのセキュリティ脅威

「クレジットカード情報を非保有でも情報漏えい」


セキュリティ上、ECサイトのDBにクレジットカード情報を有していなければ情報漏えいしようがないとあったが、Webアプリケーションのフレームワークの脆弱性をつかれてバッグドアを仕込まれた上でクレジットカード情報が攻撃者に転送される事件が発生した。 OSミドルウェア、フレームワークの脆弱性については十分に注意を促される事件であり、既存の考えの範囲を超えた攻撃がITシステムの脅威として発生しうることをECサイト事業者には考えていただきたい。そしてセキュリティにおける現状把握、そして定期的なセキュリティ診断をすることで脅威に対してキャッチアップされることを強くお勧めしたい。
アパッチ情報漏洩
個人情報の漏えい セキュリティの脅威

セキュリティの10大脅威について毎年IPA※が発表しているが、当該個人情報の漏えいについて、特にWebサイト・Webアプリケーションからのユーザー情報の漏えいが第4位にランキングされた。個人情報漏洩がWebアプリケーションに起因する脆弱性により搾取される場合、脆弱性のタイプとして次のセキュリティのポイントが上げられます。
脆弱性
OS・ミドルウェア
  • Webアプリケーションは単体のソフトウェアで構成されるのではなく複数のソフトウェア層から構成されている場合がほとんどです。OS、ミドルウェア、ソフトウェアを構築するためのフレームワーク、WordPress等のコンテンツ管理システム(CMS)などが上げられ汎用的に使用され、脆弱性の管理が煩雑なものからセキュリティの脆弱性が存在するものとして攻撃者に狙われる傾向にあります。
脆弱性
Webアプリケーション
  • Webアプリケーションのプログラムの脆弱性を狙った攻撃として上げられるのはSQLインジェクション、クロスサイトスクリプティングなどの脆弱性攻撃の9割以上を占める攻撃手法です。プログラムを脆弱性が出やすい入力/出力においてバリデーションを実施するなどセキュアコーディングすることでセキュリティ対策をすることをお勧めします。

脆弱性
ネットワーク
  • Dos攻撃、DDos攻撃などの攻撃により負荷を与え、Webアプリケーションを誤作動を起こすような状態にすることで侵入する方法が上げられます。DNSそのものを乗っ取り他社へ標的型攻撃の踏み台にされる、または自社のWebアプリケーションへ攻撃するなど、DNSレイヤーでの脆弱性についても十分に考慮することをお勧めします。


セキュリティ10大脅威

※セキュリティの10大脅威

1位:標的型攻撃を用いた組織へのスパイ・諜報活動
2位:不正ログイン・不正利用
3位:Webサイトの改ざん
4位:Webサービスからのユーザー情報の漏えい
5位:オンラインバンキングからの不正送金
6位:悪意あるスマートフォンアプリ
7位:SNSへの軽率な情報公開
8位:紛失や設定不備による情報漏えい
9位:ウイルスを使った詐欺・恐喝
10位:サービス妨害

※引用:IPA独立行政法人情報処理推進機構
「2014年版 情報セキュリティ10大脅威」
脆弱性を狙った攻撃者の考え

攻撃者は普段から脆弱性情報の収集を行っている可能性が高く、どのIPが、どのFQDNが、どのポートがオープンしているかといった調査を常にシステムで自動的に収集しています。既に攻撃できる対象があれば自動的に攻撃を開始するツールを持ち合わせ、来たる脆弱性が発見されたら保有している脆弱性DB(データベース)から攻撃対象を抽出し攻撃を開始する。攻撃者に隙を与えないためにも自社のシステムのセキュリティ状況を正確に把握し、定期的に脆弱性を有していないかを確認されることをお勧めします。
PCIDSS準拠のセキュリティ診断サービス

Copyright (c) COBO HOLDINGS,INC All Right Reserved.

お気軽にお電話でも問い合わせください

03-3513-7630

受付:平日 10:00~18:00

Web経由は24時間受付OK。簡単2分で問い合わせ!