個人情報流出のリスクも！ECサイトにおける脆弱性攻撃のセキュリティ対策

ECサイトは、人々が買い物をする手段として、時代のスタンダードになりつつあります。一方でECサイトの脆弱性を狙った攻撃による個人情報流出事件も発生しており、100％安全なシステムとは言い切れません。

ユーザーに安心して利用してもらうためにも、脆弱性攻撃を未然に防ぐセキュリティ対策は、ECサイトにとって欠かせない課題です。

ここではECサイト運営者が注意しておきたい脆弱性攻撃と、セキュリティ対策についてご紹介します。

ECサイトが警戒すべき脆弱性攻撃

まずはECサイトが警戒すべき脆弱性攻撃について理解しておきましょう。ECサイトがターゲットとなりえる脆弱性攻撃には以下のようなものがあります。

 

 

 

 

個人情報の不正取得

悪意ある第三者によってアカウントに不正ログインされると、氏名・生年月日・住所といった個人情報が流出してしまいます。閲覧された個人情報は、業者の間で売り買いされているようです。

クレジットカード情報の流出

脆弱性攻撃によってユーザーのクレジットカード情報が流出してしまうケースがあります。クレジットカード番号、暗証番号が流出すると、買い物で不正利用されることも珍しくありません。

不正利用であることが認められれば保険が適用されますが、クレジットカード情報を流出させないよう万全なセキュリティ対策が必要です。

サイト情報の改ざん

編集ページのセキュリティ対策ができていない場合、第三者によって簡単にサイトの情報を改ざんされてしまいます。ECサイトは、価格情報の改ざんに対して特に警戒が必要です。

商品を不当に安く改ざんされた価格で取引してしまい、気付いた時には大きな損害を受けていたというケースもあります。

脆弱性の種類

Webサイトの脆弱性にはいくつかの種類が存在します。ECサイトは、とりわけ以下の脆弱性に注意が必要です。

SQLインジェクション

「SQLインジェクション」とは、Web上のデータベースにアクセスして重要なデータを閲覧・改ざんする不正行為、もしくはそうした攻撃を許してしまうプログラムの脆弱性です。ドメイン固有言語としてSQLを用いているサイトがターゲットとなります。

クロスサイト・スクリプティング

「クロスサイト・スクリプティング」は、保安上の脆弱性のあるWebサイトを踏み台に、そのサイトの訪問者に悪意のあるプログラムを送り込む手法です。この脆弱性を利用すれば、任意のページをユーザーのブラウザに表示できます。フィッシング詐欺では頻繁に利用されている脆弱性です。

クロスサイト・リクエスト・フォージェリ

「クロスサイト・リクエスト・フォージェリ」は、スクリプトや自動転送が仕込まれてしまったWebサイトで、ユーザーのアクションをきっかけに、ユーザーが意図していない退会手続きや決済の手続きが行われてしまう脆弱性です。

脆弱性攻撃へのセキュリティ対策

ご紹介したような脆弱性攻撃からユーザーを、そしてWebサイトを守るためには、以下のようなセキュリティ対策が有効です。

 

 

 

 

 

サイトの暗号化が大前提！

サイトをSSLなどで暗号化しておけば、第三者は情報を閲覧・改ざんできません。今日のECサイトにおいては、サイトの暗号化はほとんど大前提と考えられています。

管理ページへの不正アクセスを絶対に防ぐ

管理ページには、第三者の侵入を許してはいけません。ログインできるIPを制限しておくと安心です。またユーザーネームやパスワードも流出しないよう管理してください。

サイト管理は最新バージョンのソフトで

サイトを管理しているソフトの古さは、そのままサイトの脆弱性となって現れます。

新しい攻撃からサイトを守るため、管理ソフトを最新バージョンにアップデートするようにしてください。

おわりに

ECサイトの脆弱性攻撃にはさまざまな種類があります。ECサイトを守るため、SSL暗号化やログインIPの制限などのセキュリティ対策が必要です。

サイトの管理者は、ユーザーの重要な情報を保持しているという意識を持たなければなりません。また脆弱性攻撃によって受けるWebサイトの被害にも警戒心を持ち続けましょう。