セキュリティの
学び場

今回の解説ニュース

ECサイトへの不正アクセスについて、クレジットカード以外に個人情報流出の可能性について追加報告が発表されています。多発しているECサイトへのサイバー攻撃の詳細と、ECサイトにかかわる各組織がセキュリティで気を付けるべきポイントについて説明します。

今回のインシデントは、委託会社が管理するECサイトに第三者の不正アクセスで不正ファイルが設置され、会員マスタ及び受注マスタのデータベーステーブルが閲覧できる状態であったことが判明しました。新たに流出した可能性が判明したのは、349件のクレジットカード情報に加え、会員マスタ及び受注マスタに登録された4,910件の個人情報であったということです。

インシデントの原因として、ECサイトにクロスサイトスクリプティングの脆弱性が存在していたことが挙げられています。再発防止策として、システムのセキュリティ対策と監視体制の強化を行うと発表されています。また、今回の不正アクセスについて、監督官庁である個人情報保護委員会には報告済みで、所轄警察署にも相談報告をしており、今後捜査にも全面的に協力していくということです。

クロスサイトスクリプティングから不正ファイルが設置される手口とは

クロスサイトスクリプティングの脆弱性からデータベースが参照されてしまう手口と対策について、少し技術的な内容になりますが、できるだけわかりやすく説明します。

まず、Aさんがクロスサイトスクリプティングの脆弱性が存在するECサイトの管理者だったとします。AさんがECサイトにログインしたブラウザには、AさんがECサイトの管理者である情報が記憶されています。仮に、AさんがECサイトへログインしたブラウザで、ECサイトに存在するクロスサイトスクリプティングの脆弱性をついたサイバー攻撃を受けてしまった場合、Aさんの権限は攻撃者に乗っ取られてしまうことになります。ここまでが一般的なクロスサイトスクリプティングの被害です。

さらに、ECサイトの管理者であるAさんは、ECサイトを管理するための機能にアクセスすることができます。具体的には、ページを更新するためにECサイトへファイルをアップロードすることができる場合があります。アップロードできるファイルによって、ペイメントアプリケーションを上書きしたり、データベースへクエリを発行するプログラムを設置したりすることができるかもしれません。これが、クロスサイトスクリプティングから不正ファイルが設置されるサイバー攻撃の正体です。

対策としては、強い権限を持つ管理者がアクセスする画面に脆弱性が存在していないか確認することが必要です。管理者がアクセスする画面は特定の人しかアクセスしなかったり、IPアドレス制限がかかっていたりするため、セキュリティ対策が見送られる場合があります。しかし、最近発生しているECサイトへのサイバー攻撃は管理画面の脆弱性を狙ったものが数多く存在していますので、管理画面でも緊急度の高いクロスサイトスクリプティングやSQLインジェクションなどの脆弱性については、脆弱性診断で洗い出してリリース前に修正するなど、最低限のセキュリティ対策は実施するようにしましょう。

ECサイトに被害発生、責任はどこにあるのか？

一般的なあるべき姿として、委託会社はECサイトのセキュリティ対策を実施する責任があり、販売元と導入会社はセキュリティ要件を確認する責任がありますが、その責任範囲が明確になっていない事が多いようです。

新たな脅威が顕在化した際、責任範囲の明記がない割合は8割

IPAが公表した「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」の報告書では、新たな脅威が顕在化した際の対応について責任範囲の明記がない割合は8割で、責任範囲を明確に出来ない理由は知識・スキル不足が最多で79.6%と発表されています。また、責任範囲を記述している文書は契約書であることが多く、責任範囲を明確にするには契約関連文書の雛形の見直しが求められます。

攻撃被害は受けた箇所だけでは済まない現状

現在、ECサイトに限らず、1社のみで完結してサービス提供が行われることはまれで、開発や運用、販売など複数の組織が関与する「サプライチェーン」によって消費者の手に届きます。サプライチェーンを形成するいずれかの組織でセキュリティリスクが顕在化してしまう「サプライチェーンリスク」については、過去にも何度か触れさせていただきました。

本当の被害者は、個人情報を漏洩されてしまったECサイトのユーザです。ユーザ保護を最優先に考えて、サービス提供にかかわるすべての人が全員参加のセキュリティを実現できることが強く望まれます。