サービスに関する
お問い合わせ

0120-142-117
お電話でご相談 / 平日10:00〜18:00
※ タップして今すぐお電話

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。 ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

SHIFT SECURITY クラウドセキュリティの学び場 技術・仕組み 情報漏洩はこうやっておこる|ECサイト編

情報漏洩はこうやっておこる|ECサイト編

情報漏洩はこうやっておこる ECサイト編
目次
  • ECサイトの作成は手軽で容易に
  • 利便性と脆弱性
  • 情報漏洩はこうやっておこる
  • Webアプリケーションの脆弱性診断の重要性

ECサイトの作成は手軽で容易に

近年は、専門的な知識やスキルが無くても手軽にWebサイトを作成できるCMS(Content Management Systeml)を用いることが主流になり、個人や事業規模の小さい企業、商店でも手軽に店舗サイト、ECサイトを作成することができるようになりました。

なかにはクラウドCMSと呼ばれる、Webブラウザ上から視覚的にWebサイトの構成を選択するだけでWebサイトを作成し、そのままサーバの契約も不要でサイトを公開することのできるサービスもあり、Webサイト作成、公開はますます容易なものとなっています。

利便性と脆弱性

Webサイトを手軽に作成・公開できるようになった反面、懸念されるのが設定の不備や脆弱性を悪用されることによる情報漏洩のリスクです。

多くの場合、CMSはオープンソースであることから無料で利用できる一方、設定内容や脆弱性への対応は利用者自身で管理する必要があります。またオープンソースという特性上、利便性を向上させるための拡張機能(プラグイン)が豊富に公開されていますが、これらの中には脆弱性を含んでいるものも少なくありません。

個人が作成・公開することが可能であることから、十分な安全性の検証が行われていない場合、これらプラグインの中に存在するバックドアを悪用されるケースも考えられます。

以上のことから、自身のWebサイトにどのような脆弱性があるのか、設定は不備のない正しいものなのかを、利用者自身が把握し、管理する必要があります。

情報漏洩はこうやっておこる

ECサイトにおける情報漏洩のケースには様々な事例がありますが、主な例としては以下のようなものが挙げられます。

不十分な認証による不正ログイン

こ二要素認証やアクセス元制限などを行わない事で、インターネットから不正ログインされてしまい、結果としてECサイト内部の重要情報、個人情報を直接的に盗難される恐れがあります。

CMS、または拡張機能(プラグイン)に存在する脆弱性の悪用による漏洩

脆弱性を悪用されることで、インターネットからの不正ログイン、または不正アクセスによる情報漏洩の恐れがあります。ここで重要なのは、CMS本体ではなく拡張機能(プラグイン)に脆弱性が含まれる場合にも注意が必要となる点です。

サイトを巧妙に改ざんされることによる情報漏洩

直接的な情報の漏洩が発生せずとも、サイトを巧妙に改ざんされることでサイト利用者の情報を不正に取得される恐れがあります。例えば、不正ログイン、または脆弱性の悪用により、決済画面を改ざんします。このとき、正規サイトである可能に見せかけ、入力を促した情報を悪意のある第三者の元に送信するように巧妙に改ざんすることで、情報を取得される恐れがあります。

設定の不備による情報漏洩

意図しない公開設定としてしまったために、サイト内の一部ページや機能を第三者に閲覧、操作されてしまうケースにも注意が必要です。これはクラウド環境でECサイトを構築している場合や、クラウドCMSを用いているケースでも注意が必要です。

Webアプリケーションの脆弱性診断の重要性

多くの場合、Webアプリケーション診断、プラットフォーム診断を行うことで、不正ログインへの耐性があるか、アクセス権限の制御が正しく行われていないかなどの脆弱性の有無を検査することが可能です。しかし、クラウド環境上の設定不備によって生じる問題は、一般的には既存の脆弱性診断では検出できません。このため、Webアプリケーションやプラットフォームに脆弱性診断を行っている場合でも、クラウド診断が必要になります。

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 海瀬 秀晃

国内某大手メーカーの社内VPNの運用・管理業務に携わり、ネットワークインフラ管理業務を経験。2013年よりサイバーセキュリティ業界に足を踏み入れる。2016年には国内初となるSaaS型 WAFの自社開発を実現し、商品化・販売を行う。2020年2月 株式会社SHIFT SECURITY入社し、Web脆弱性診断の診断品質を担保する業務に従事。情報処理安全確保支援士。恐妻家。三兄弟の父。

\ 記事をシェアする /

サービスに関する
お問い合わせ

0120-142-117
お電話でご相談 / 平日10:00〜18:00
※ タップして今すぐお電話