ECサイト等のオンラインショッピングサイトからの、クレジットカード情報の漏洩被害が後を絶ちません。今年に入り既に50件を超える被害報告が上がっています。これらの被害の多くは、Webスキミングという攻撃手法が使われています。
Webスキミングとは
攻撃者が、不正なJavaScriptコードをオンライン決済ページへ不正に挿入し、Webサイト利用者が商品購入の際に入力したクレジットカード情報を攻撃者のサーバへ送信してしまう攻撃手法です。決済に使われるクレジットカード情報とセキュリティコードがセットで盗まれてしまうため、容易に不正利用されてしまいます。
この被害にあったページは、見た目に違和感はなく、クレジットカード決済も正常に処理され、購入した商品等も届くため、Webの利用者や、運営者も、被害にあっている事に気付く事が難しいです。クレジットカード会社から被害疑いの連絡受け調査を行い発覚するケースが多くみられます。
狙われ易いサイト
ECサイトの立上げには、一般的にECプラットフォーム製品やクラウドサービスが利用されます。 これらの製品にはソフトウェアの脆弱性が報告されているものがあり、攻撃者はこの脆弱性を悪用し、不正なJavaScriptコードをWebサイトへ挿入します。特に以下のサイトがターゲットとなります。
・古いバージョンを利用し脆弱性が放置されたままのサイト
・直近で新たに脆弱性が報告され未対策のサイト
次に、ECプラットフォーム製品やサービスには、コンテンツを管理するために、管理者専用のページが用意されていますが、安易なログインIDやパスワードを利用していると攻撃者に特定され、管理者ページに不正ログインされます。管理者ページではコンテンツを自由に書き換えることが可能なため、決済ページに不正なJavaScriptコードを容易に挿入する事ができます。
・管理者ページに安易なIDパスワードを設定しているサイト
とるべき対策
脆弱性の対策としては、修正されたバージョンへのアップデートや修正パッチの適用が基本となります。ECサイトの管理者としては、まず自サイトで利用している、以下情報を把握する必要があります。
・ECプラットフォーム製品とバージョン情報の把握
次に、製品提供元のホームページなどから該当バージョンの脆弱性の有無と影響を確認し、影響があれば、パッチの適用等、製品提供元の指示する対策を実施します。
・ 脆弱性有無と影響の確認
・バージョンアップ・修正パッチの適用
管理者ページのセキュリティ対策としては、運用上差支えが無ければIPアドレス制限で不特定多数がアクセスできないよう制御する事や、製品・サービスが提供する認証強化機能(2要素認証等)を利用する事が有効です。また、不要なアカウントの削除や、安易なログインIDやパスワードの見直しも重要です。
・管理者ページのアクセス制御・認証強化
・管理者アカウントの棚卸(不要なアカウントの削除、ID/パスワード見直し)
最後に、Webサイトの新規構築時は、通常、最新のバージョンを利用するため、脆弱性はありませんが、運用を続けているうちに新しい脆弱性が次々に報告されるため、日々メンテナンスを行う必要があります。攻撃者は、このようなメンテナンスの滞ったサイトをターゲットにしますので、ご注意ください。
セキュアブレインの提供する、GRED Webセキュリティ診断Cloud サービスでは、一般的な脆弱性診断に加え、ECなどWebで利用されるプラットフォームの判別や、判別された情報に関連する脆弱性情報を日々検索し報告する事で、サイト運営者の脆弱性対策の支援を行います。無料トライアルもございます。ぜひご検討ください。
GRED Web セキュリティ診断 Cloud紹介ページ
https://www.securebrain.co.jp/products/gwsvc/index.html
GRED Web セキュリティ診断 Cloud無料トライアルお申込み
https://www.securebrain.co.jp/campaign/form/