セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 クロスサイトスクリプティングの脆弱性を突くサイバー攻撃

クロスサイトスクリプティングの脆弱性を突くサイバー攻撃

クロスサイトスクリプティングの脆弱性を突くサイバー攻撃
目次
  • 今回の解説ニュース
  • クロスサイトスクリプティングから不正ファイルが設置される手口とは
  • ECサイトに被害発生、責任はどこにあるのか?

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

ジーアールへの不正アクセス、「グラントマトオンラインショップ」で新たに個人情報の流出も判明

農業生産資材から食料品までを扱うグラントマト株式会社は11月26日、9月17日に公表した同社が運営する「グラントマトオンラインショップ」への不正アクセスについて、追加報告を発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

ECサイトへの不正アクセスについて、クレジットカード以外に個人情報流出の可能性について追加報告が発表されています。多発しているECサイトへのサイバー攻撃の詳細と、ECサイトにかかわる各組織がセキュリティで気を付けるべきポイントについて説明します。

今回のインシデントは、委託会社が管理するECサイトに第三者の不正アクセスで不正ファイルが設置され、会員マスタ及び受注マスタのデータベーステーブルが閲覧できる状態であったことが判明しました。新たに流出した可能性が判明したのは、349件のクレジットカード情報に加え、会員マスタ及び受注マスタに登録された4,910件の個人情報であったということです。

インシデントの原因として、ECサイトにクロスサイトスクリプティングの脆弱性が存在していたことが挙げられています。再発防止策として、システムのセキュリティ対策と監視体制の強化を行うと発表されています。また、今回の不正アクセスについて、監督官庁である個人情報保護委員会には報告済みで、所轄警察署にも相談報告をしており、今後捜査にも全面的に協力していくということです。

クロスサイトスクリプティングから不正ファイルが設置される手口とは

クロスサイトスクリプティングの脆弱性からデータベースが参照されてしまう手口と対策について、少し技術的な内容になりますが、できるだけわかりやすく説明します。

まず、Aさんがクロスサイトスクリプティングの脆弱性が存在するECサイトの管理者だったとします。AさんがECサイトにログインしたブラウザには、AさんがECサイトの管理者である情報が記憶されています。仮に、AさんがECサイトへログインしたブラウザで、ECサイトに存在するクロスサイトスクリプティングの脆弱性をついたサイバー攻撃を受けてしまった場合、Aさんの権限は攻撃者に乗っ取られてしまうことになります。ここまでが一般的なクロスサイトスクリプティングの被害です。

さらに、ECサイトの管理者であるAさんは、ECサイトを管理するための機能にアクセスすることができます。具体的には、ページを更新するためにECサイトへファイルをアップロードすることができる場合があります。アップロードできるファイルによって、ペイメントアプリケーションを上書きしたり、データベースへクエリを発行するプログラムを設置したりすることができるかもしれません。これが、クロスサイトスクリプティングから不正ファイルが設置されるサイバー攻撃の正体です。

対策としては、強い権限を持つ管理者がアクセスする画面に脆弱性が存在していないか確認することが必要です。管理者がアクセスする画面は特定の人しかアクセスしなかったり、IPアドレス制限がかかっていたりするため、セキュリティ対策が見送られる場合があります。しかし、最近発生しているECサイトへのサイバー攻撃は管理画面の脆弱性を狙ったものが数多く存在していますので、管理画面でも緊急度の高いクロスサイトスクリプティングやSQLインジェクションなどの脆弱性については、脆弱性診断で洗い出してリリース前に修正するなど、最低限のセキュリティ対策は実施するようにしましょう。

ECサイトに被害発生、責任はどこにあるのか?

一般的なあるべき姿として、委託会社はECサイトのセキュリティ対策を実施する責任があり、販売元と導入会社はセキュリティ要件を確認する責任がありますが、その責任範囲が明確になっていない事が多いようです。

新たな脅威が顕在化した際、責任範囲の明記がない割合は8割
IPAが公表した「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」の報告書では、新たな脅威が顕在化した際の対応について責任範囲の明記がない割合は8割で、責任範囲を明確に出来ない理由は知識・スキル不足が最多で79.6%と発表されています。また、責任範囲を記述している文書は契約書であることが多く、責任範囲を明確にするには契約関連文書の雛形の見直しが求められます。
攻撃被害は受けた箇所だけでは済まない現状
現在、ECサイトに限らず、1社のみで完結してサービス提供が行われることはまれで、開発や運用、販売など複数の組織が関与する「サプライチェーン」によって消費者の手に届きます。サプライチェーンを形成するいずれかの組織でセキュリティリスクが顕在化してしまう「サプライチェーンリスク」については、過去にも何度か触れさせていただきました。

本当の被害者は、個人情報を漏洩されてしまったECサイトのユーザです。ユーザ保護を最優先に考えて、サービス提供にかかわるすべての人が全員参加のセキュリティを実現できることが強く望まれます。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

Contact

お見積り・ご相談など、お気軽にご相談ください

ご相談・ご質問はこちら

お問い合わせ

お見積り依頼はこちら

お見積り依頼

資料請求はこちら

資料請求

お電話でのご相談はこちら
(平日10:00~18:00)

TEL.050-5532-3255
サイトTOPへ