こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
株式会社日経BPは7月3日、同社が運営する医療従事者専門サイト「日経メディカル Online」への不正アクセスによる会員登録情報の一部漏えいについて発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】Webサイトに不正アクセスがあり、会員情報が盗まれたり、書き換えられたりした可能性があるということです。換金性の高い商品を取り扱うWebサイトのセキュリティで気を付けるべきポイントについて説明します。
今回のインシデントでは、海外のIPアドレスからサイバー攻撃があり、会員登録情報の一部が窃取された可能性と、会員登録情報の一部が書き換えられていたことが判明しました。対象者に対しては、個別に連絡を進めているということです。
対策として、当該サイトを一時停止し、全会員のパスワードを初期化しました。また、被害拡大を防止するために、これまでの電子ギフトコードの表示画面停止に加え、登録情報の変更画面なども停止しています。再発防止策として、セキュリティ体制のさらなる強化を図り、情報管理の徹底に努めるということです。
不正アクセスとは、本来権限を持たない人やプログラムが、サーバやシステムへ侵入する行為です。不正アクセスが行なわれた結果、サーバやシステムが停止してしまったり、保存されていた機密情報が漏えいしてしまったりして、インシデントにつながる可能性があります。
例えばAさんが、スマートフォンでいつも遊んでいるゲームがあったとします。ゲームにはキャラクターを育成したり、強いアイテムを購入する機能があって、それらを継続して行うためには、ポイントを購入する必要があります。Aさんは、毎日ゲームで遊んでいるうちに、ポイントを購入しなくても、アイテムを手に入れる方法を見つけました。いわゆる、脆弱性ですね。Aさんは、この脆弱性を突いて、課金せずにアイテムを無限に手に入れることができました。しかし、ゲームの運営元はAさんの不正行為に気が付き、アカウントが停止された上で、Aは不正アクセス禁止法違反で検挙されることになります。
このように、ホームページの改ざんや情報窃取、踏み台行為に限らず、本来はシステムで許可されていない行為に及ぶと、不正アクセスに該当する場合があります。つまり「できる」と「やっていい」は必ずしも一致しないので、それらを見誤ると不正アクセスに該当する可能性があります。ちなみに、不正アクセスはDDoS攻撃など、様々なサイバー攻撃の一種として定義されることが多いようです。
換金性の高い商品を取り扱うWebサイトについて、一般的なセキュリティ対策に加えて、ビジネスロジックを踏まえたセキュリティ対策が必要です。具体的な内容について説明します。
先ほどの例でAさんがキャラクターを育成するゲームで、通信が暗号化されているかや、SQLインジェクションが存在しないかなどは、すべてのアプリケーションで共通して求められる一般的なセキュリティ対策です。それに対して、キャラクターが本来の手順をスキップして短期間で育成できたりすることは、Aさんが遊んでいるゲーム固有の脆弱性であるため、ビジネスロジックを理解したうえでセキュリティ対策を行うことが必要です。
換金性の高い商品を取り扱うWebサイトの場合、不正にポイントを入手できないか、交換に必要なポイントを操作できないかなどがビジネスロジックに当たります。さらに、換金性の高い商品は得られる価値が高いことから、攻撃者にとっても時間的なコストをかける価値が十分に高いため、より慎重にセキュリティ対策を行うことが必要です。
今回は、換金性の高い商品を取り扱うWebサイトのセキュリティ対策についてお届けしました。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ