セキュリティの
学び場

今回の解説ニュース

ECサイトに不正アクセスがあり、個人情報やクレジットカード情報が漏洩した可能性があるということです。今年に入ってよく見られるようになった、ECサイトの注文情報から管理画面の脆弱性を狙ったサイバー攻撃の内容と対策について説明します。

今回のインシデントは、ECサイトのサーバ内に管理対象外のファイルが発見され、管理画面からクロスサイトスクリプティングの記述がある不審な注文情報が確認されたため、第三者機関による調査をしたところ、ECサイトで購入したユーザの個人情報やクレジットカード情報が漏洩し、不正利用された可能性があることを確認したということです。

インシデントの原因として、ECサイトの脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたと発表されています。対策として、不審な注文情報やファイルを確認した段階でECサイトを停止しており、個人情報保護委員会に報告し、所轄警察署にも申告をしています。また、再発防止策として、システムのセキュリティ対策と監視体制の強化を行うということです。

不正アクセス禁止法について

今回のインシデントも含めた不正アクセスは、不正アクセス禁止法によって裁かれます。不正アクセス禁止法の内容について、簡単に説明します。

不正アクセス禁止法とは「不正アクセス行為の禁止等に関する法律」の略称で、コンピュータが通信を行う際に、不正アクセスとその助長行為を規制する日本の法律です。不正アクセス行為をした者は、3年以下の懲役または100万円以下の罰金に処せられるとされています。

不正アクセス行為を簡単に説明すると、インターネットなどのネットワークを通じて、アクセス制御機能を持つコンピュータにアクセスして、他人のパスワードを入力したり、システムの脆弱性をついたりして、認証の制限を突破してシステムが利用可能な状態にする行為です。なお、アクセス制御機能は別のコンピュータで行っていた場合も含まれるということです。

例えば、ECサイトにログイン画面があって、試しに他人のパスワードを予想して入力してみたり、SQLインジェクションの値を入力してみたりして、うっかりログインできてしまうと、立派な不正アクセス行為になってしまうということです。気を付けましょうね。ちなみに、不正アクセス禁止法の処罰対象は故意犯とされており、過失犯と未遂犯は対象外とされています。

XSSの被害が発生する過程と、その対策

最近よく発生している、注文情報からクロスサイトスクリプティングが発火し、ECサイトが改ざんされてしまう被害を防ぐためには、管理画面に対しても脆弱性を洗い出して修正することが必要です。実際に被害が発生する過程と、その対策について説明します。

脆弱性診断の依頼を受ける際、どこの画面を診断したらいいですか、と診断対象を絞り込む依頼を受けることがありますね。限られた予算の中でセキュリティ対策をするためには、どうしても優先順位をつけなければなりません。ECサイトの場合だと、限られた人しかアクセスしない注文情報などを確認する管理画面より、たくさんの人がアクセスする買い物をしたり決済をしたりする公開画面の方が、優先度が高くなることは必然です。これ自体は間違いではありません。

ただし、限られた人しかアクセスしないからと言って、管理画面に対してセキュリティ対策を怠ると、今回のような被害が発生してしまいます。理由は、管理画面で脆弱性が発火してしまうと、管理者権限で被害が発生してしまう可能性があるからです。

具体的には、管理者はECサイトにファイルをアップロードするなど強い権限を持っているので、ECサイト内のページやペイメントアプリケーションが置き換えられてしまう可能性があります。その他にもデータを削除したり、システムを停止したりすることもできる可能性がありますが、攻撃者にとって最も利益が得られる決済機能が狙われています。

対策として、公開画面と同じレベルではなくても、深刻度の高い脆弱性については洗い出して修正しておくことが求められます。具体的には、SQLインジェクションやクロスサイトスクリプティングなど深刻度の高い脆弱性が含まれる、OWASP TOP 10については対策しておくといいかもしれません。

OWASP TOP 10の詳細については、先日リリースされたばかりの最新バージョンについて解説したホワイトペーパーを無料で公開しています。ご興味のある方は参考にしてみてください。