2016年12月09日 08時00分 UPDATE
特集/連載

増加するカードのスキミング「オンラインショップはセキュリティホールまみれ」と研究者が警告

複数の研究者が、オンラインショップの現状に警鐘を鳴らしている。多くのオンラインショップにセキュリティ上の脆弱性が存在し、カード情報を入手するためのコードが埋め込まれたサイトもあるという。

[Warwick Ashford,Computer Weekly]
Computer Weekly

 オンラインショップは脆弱(ぜいじゃく)性まみれであり、業界を挙げて早急に改善する必要があると研究者は警告する。

Computer Weekly日本語版 12月7日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 12月7日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 WhiteHat Securityによれば、オンラインショップにはOpen Web Application Security Project(OWASP)が「非常に危険」または「高リスク」に分類する「深刻な」脆弱性が平均13件含まれるという。

 このセキュリティ企業の研究者は、全オンラインショップの約半分が少なくとも1件のセキュリティの欠陥を含み、平均23種類の脆弱性が存在することも明らかにしている。

 WhiteHat Security脅威リサーチ部門のバイスプレジデント、ライアン・オライリー氏は次のように警告する。「小売企業には、Webサイトのセキュリティについて果たすべき重要な役割があることは明らかだ。小売企業は、消費者がアクセスするWebアプリケーションを多数公開しており、個人情報と財務情報を両方保持している」

 「小売企業が、Webアプリケーションの深刻な脆弱性全てを解決するのは簡単なことではない。最も深刻な脆弱性を修正するだけでも長い時間がかかる。適切な解決策を実装するのに平均205日を要する」(オライリー氏)

 WhiteHat Securityの研究者によれば、小売企業が優先順位を付けて修正しているのは、見つかった脆弱性の半分以下だという。

 深刻な脆弱性が複数あると、企業のビジネスリスクだけでなく、その脆弱なWebサイトの利用者にも脆弱性が広がるリスクが高まるとオライリー氏は話す。

 「小売企業は、深刻なセキュリティの欠陥やリスクの高い欠陥を優先的に解決することで、深刻な脆弱性が攻撃にさらされたまままの期間を短くする見込みはある」

 最近、セキュリティ企業RiskIQの研究者が、ショッピングカートソフトウェアの脆弱性を利用してEコマースを侵害し、支払いに使用されるカード情報を盗むキーロガー攻撃を発見した。

 RiskIQによれば、この攻撃はMagecartと呼ばれ、JavaScriptコードをサイトにインジェクションすることで支払いに使われるカード情報を入手する。

 RiskIQは、Eコマースサイトを運営する企業はインテグレーターやコントラクターとパートナー関係を結ぶべきだと勧告する。そうすれば、コンプライアンスの最低要件を保証していることを検証できるだけでなく、パートナーが使用するテクノロジーと、Eコマースの強化や堅牢(けんろう)なセキュリティ維持についてのパートナープロセスの透明性を実証することもできる。

 Eコマースサイトの管理者は、推奨のセキュリティ制御とベストプラクティスに対する親和性と適合性を確保し、全てのOSとWebスタックソフトウェアが最新状態に保たれていることも確かめなければならない。

 5925社のオンライン小売企業が、クレジットカード情報の入手を目的に設計されたコードを知らないうちに含んでいたことをオランダの開発者ウィレム・デ・グルート氏が見つけて以降、オンラインショップのセキュリティに厳しい視線が注がれるようになった。

 根本原因は、Webアプリケーションのセキュリティが貧弱なことにある。デ・グルート氏は自身のブログに次のように記している。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news019.jpg

スタンプラリーにポイントカード、顧客満足度向上の決め手を調査から読む
顧客満足度の高い企業、ポイントカードやクレジットカードの保有枚数にスタンプラリー企...

news114.jpg

NTTドコモと博報堂、O2Oマーケティング分野における業務・資本提携に合意
NTTドコモと博報堂は業務・資本提携について合意したと発表した。O2Oマーケティング分野...

news095.jpg

KABUKI、EC事業者に広告収入をもたらすEC特化型広告配信ネットワーク「アド・アトリエ」を提供
次世代型ECモール「kabukiペディア」を運営するKABUKIは、EC特化型広告配信ネットワーク...