法人のお客さまに起こりがちな状況
ECサイトは、氏名、住所、電話番号といったユーザの個人情報が保持されているため、情報漏えいリスクが非常に高いサイトです。漏えい時のリスクヘッジとしてサイバー保険もありますが、中小企業ではなかなかコスト面で導入が難しいところが実態のようです。
とは言え、そんな中であっても、セキュリティレベルを上げて可能な限りサイトを守らなければならないのも、情シス担当者の役割になっています。
さまざまな種類のリスクがありますが、今回は別の記事でお伝えしたクロスサイトスクリプティング(XSS)について、ECサイトに的を絞り、掘り下げていきたいと思います。
ECサイトでも気を付けなければならないXSS
クロスサイトスクリプティング攻撃は現在でも有効な攻撃方法であり、気が付かないと大きな被害をもたらします。中でもECサイトは中小企業でも販路を作りやすい関係で、取り組みやすいというメリットと同時に、個人情報やクレジットカード情報など漏えい時のリスクが大きいというデメリットも含んでおり、かなり注意が必要なサイトと言えます。
2021年5月にはEC系CMSにおいてクロスサイトスクリプティング攻撃による情報の流出が発生しました。
よく聞くクロスサイトスクリプティング攻撃の事例としては、大手SNSでの事例などが多かったため、ECサイトではあまり意識してこなかった人もいるかもしれません。しかし、インターネットに公開されているサイトという意味では、基本的なリスクの度合いは変わりません。
むしろECサイトは注文受付のために氏名、住所、e-mail、電話番号、備考など入力フォームを多数利用しており、脆弱(ぜいじゃく)性が発生しやすい環境とも言えます。
「うちのような中小企業のショップなんて」と考えるのではなく、「うちのような中小企業のショップ『だからこそ』」と考え、事前にリスクの評価と対応を行っておくべきなのです。
ECサイトで想定される被害とは
ECサイトは不特定多数のアクセスがあり、さまざまな情報が保持されています。
こうしたサイトが攻撃された場合、主な被害として以下が想定されます。
<個人情報の流出>
-
- ユーザに対する攻撃
- セッションハイジャックによるcookie情報の窃取
※ID/パスワード情報や、住所情報などが含まれる可能性がある。
サイトの作り方によってはクレジットカード番号が漏えいすることも。
-
- 事業者側に対する攻撃
- 注文情報や問い合わせメッセージの管理画面での情報閲覧に対する攻撃
※不正アクセスやマルウェア感染の可能性が高まる
<フィッシングサイト等への誘導>
-
- サイト自体を改ざんし、マルウェア感染を目的としたフィッシングサイトへのリダイレクトなど
- ユーザ被害につながる
<bot化>
- CMS内にプログラムを設置し、spam送信などのbotに使用する
ECサイトの特性上ユーザが多いため被害が発生すると影響範囲が多く、被害者への補償、売上の減少、信頼感の喪失、リカバリー費用の発生、調査および報告の人件費、営業活動の難易度上昇など多大なコストが発生します。
中小企業は資金面での余裕がないことも多く、場合によっては事業存続が危ぶまれるレベルの危険性が含まれていることを、関係者全員が理解していないといけません。
ECサイトで発生したXSSの被害事例
2021年5月、あるECサイトのCMSで管理画面側にXSS脆弱(ぜいじゃく)性があり、それを悪用されるインシデントが発生しました。特定の不審なデータを管理画面上で参照すると攻撃(任意のコードが実行される)が成立し、ECサイトへの不正アクセスや個人情報の窃取などが行われる可能性があるものとなります。
IPA(情報処理推進機構)による本脆弱(ぜいじゃく)性の深刻度は4段階での上から2つ目となる「重要」に位置づけ、早急にアップデートを実行するよう発表しました。この脆弱(ぜいじゃく)性では実際にクレジットカード情報が外部に流出した事例も発生しています。
開発元は緊急対応のパッチを公開しすでに対応済みですが、これだけXSSが認知されている現在であってもちょっとした脆弱(ぜいじゃく)性によってこうした被害が発生しているのが現状です。
ECサイトでのXSS被害を防ぐための方法とは
事業者側としてXSSによる被害を防ぐ方法としては、大きくは以下のような方法があります。
-
- OS、ブラウザ、CMSなどのアップデート
- 検知された脆弱(ぜいじゃく)性はベンダー側でも常に把握し対策を行っています。
セキュリティに関連するアップデートは随時行い、セキュリティレベルを向上する必要があります。
関連するニュースを随時確認し新たな脆弱(ぜいじゃく)性が発生していないか、自社のECサイトにも関連しそうな脆弱(ぜいじゃく)性が見つかっていないかなど情報収集を行うことも重要です。
-
- サニタイジング処理
- 基本的なことではありますが、ユーザ側の入力に対してスクリプトに関連する文字列(「<」「>」「&」「'」「"」など)をエスケープ処理しましょう。
クロスサイトスクリプティング攻撃はJavaScriptが使われるため、プログラム上使用される文字列をエスケープすることでスクリプトを無効化しXSS攻撃を防ぐことができます。
-
- バリデーションチェック
- 入力欄に応じて入力値を適切なもののみに制限(電話番号であれば数字のみなど)しましょう。
クロスサイトスクリプティング攻撃は管理者側が想定していない入力によって実行されます。
想定外の入力がなくなることでクロスサイトスクリプティング攻撃が行われる余地を減らすことができます。
-
- WAFなどの実装
- CMSの脆弱(ぜいじゃく)性など外部要因がある場合のセーフティネットとしてWebアプリケーション保護機能を持つセキュリティソフトを導入しましょう。
XSS脆弱(ぜいじゃく)性への攻撃をブロックし、社内で脆弱(ぜいじゃく)性が突かれた場合でも外部に情報が漏えいすることを防ぐことが可能になります。
参考:https://www.trendmicro.com/ja_jp/security-intelligence/research-reports/threat-solution/xss.html
また、被害事例のように使用しているCMSに脆弱(ぜいじゃく)性がありクロスサイトスクリプティング攻撃を受けてしまう可能性も考慮すると、情シス担当としてネットワーク内部から外部不正サイトへのアクセスをブロックするなどの対応を行うことなども検討した方が安心です。
同時に、ユーザ側に対してもOSやブラウザ、セキュリティソフトのアップデートを促したりすることで、万が一の可能性を下げることも有用と考えられます。
ECサイトこそ最新の注意を払う必要あり
ECサイトは保持されているデータが個人情報と直結しており、高いセキュリティレベルが求められています。しかし、実情としては高いセキュリティレベルを維持できている企業は少ないのではないでしょうか。
中小企業であろうと大企業であろうと、ECサイトを利用するユーザとしてはそのサイトを信用して個人情報を預けてくれているものです。一度でもこうしたインシデントが発生すると、実際には直接的な原因が自社にあるわけではなくても企業の責任であると判断されかねないので「対応はやっている」と現状に満足せず、ゼロトラストの考え方で常に何かあった時の対応について検討し、セキュリティレベルを上げていく意識が必要です。
情シス担当者としては取り扱っている情報の価値をしっかりと理解し、ソリューションの導入も含めてもう一段高いレベルでのセキュリティを維持することで会社を守る意識が重要であると思います。
トレンドマイクロからのアドバイス
クロスサイトスクリプティング攻撃は入力フォームを多用するECサイトでは対策必須です。
トレンドマイクロでは、クロスサイトスクリプティング攻撃に対しても対応できるさまざまなソリューションを提供しています。自社の体制をご確認のうえ、不足している点がありましたらぜひご検討ください。
軽くて・強くて管理負担が少ない中小企業向けクラウドセキュリティ
ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は現場から求められる「速さ」と「防御力」を両立させるとともに、管理者が求める「導入のしやすさ」や「管理のしやすさ」にもこだわったセキュリティ製品です。
従業員数の増減に合わせてPC1台から手軽に導入可能でありながら全PCのセキュリティを遠隔管理できます。
「クラウド型」のため管理サーバも不要で、管理者、ユーザ共に自宅などのテレワーク環境で作業するケースにも対応した管理サーバも不要な管理コスト軽減に貢献できるソリューションとなっています。
パフォーマンスを損なわずにDC、クラウド、 コンテナ保護
Trend Micro Cloud One - Workload Security™(Cloud One - Workload Security)は脆弱(ぜいじゃく)性や不正プログラムおよび不正な変更などの脅威から、仮想・物理・クラウドおよびコンテナ環境のハイブリッド環境を防御できるソリューションです。