近年は、専門的な知識やスキルが無くても手軽にWebサイトを作成できるCMS(Content Management System)を用いることが主流になり、個人や事業規模の小さい企業、商店でも手軽に店舗サイト、ECサイトを作成することができるようになりました。
なかにはクラウドCMSと呼ばれる、Webブラウザ上から視覚的にWebサイトの構成を選択するだけでWebサイトを作成し、そのままサーバの契約も不要でサイトを公開することのできるサービスもあり、Webサイト作成、公開はますます容易なものとなっています。
Webサイトを手軽に作成・公開できるようになった反面、懸念されるのが設定の不備や脆弱性を悪用されることによる情報漏洩のリスクです。
多くの場合、CMSはオープンソースであることから無料で利用できる一方、設定内容や脆弱性への対応は利用者自身で管理する必要があります。またオープンソースという特性上、利便性を向上させるための拡張機能(プラグイン)が豊富に公開されていますが、これらの中には脆弱性を含んでいるものも少なくありません。
個人が作成・公開することが可能であることから、十分な安全性の検証が行われていない場合、これらプラグインの中に存在するバックドアを悪用されるケースも考えられます。
以上のことから、自身のWebサイトにどのような脆弱性があるのか、設定は不備のない正しいものなのかを、利用者自身が把握し、管理する必要があります。
ECサイトにおける情報漏洩のケースには様々な事例がありますが、主な例としては以下のようなものが挙げられます。
こ二要素認証やアクセス元制限などを行わない事で、インターネットから不正ログインされてしまい、結果としてECサイト内部の重要情報、個人情報を直接的に盗難される恐れがあります。
脆弱性を悪用されることで、インターネットからの不正ログイン、または不正アクセスによる情報漏洩の恐れがあります。ここで重要なのは、CMS本体ではなく拡張機能(プラグイン)に脆弱性が含まれる場合にも注意が必要となる点です。
直接的な情報の漏洩が発生せずとも、サイトを巧妙に改ざんされることでサイト利用者の情報を不正に取得される恐れがあります。例えば、不正ログイン、または脆弱性の悪用により、決済画面を改ざんします。このとき、正規サイトである可能に見せかけ、入力を促した情報を悪意のある第三者の元に送信するように巧妙に改ざんすることで、情報を取得される恐れがあります。
意図しない公開設定としてしまったために、サイト内の一部ページや機能を第三者に閲覧、操作されてしまうケースにも注意が必要です。これはクラウド環境でECサイトを構築している場合や、クラウドCMSを用いているケースでも注意が必要です。
多くの場合、Webアプリケーション診断、プラットフォーム診断を行うことで、不正ログインへの耐性があるか、アクセス権限の制御が正しく行われていないかなどの脆弱性の有無を検査することが可能です。しかし、クラウド環境上の設定不備によって生じる問題は、一般的には既存の脆弱性診断では検出できません。このため、Webアプリケーションやプラットフォームに脆弱性診断を行っている場合でも、クラウド診断が必要になります。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
