2016年12月09日 08時00分 UPDATE
特集/連載

増加するカードのスキミング「オンラインショップはセキュリティホールまみれ」と研究者が警告

複数の研究者が、オンラインショップの現状に警鐘を鳴らしている。多くのオンラインショップにセキュリティ上の脆弱性が存在し、カード情報を入手するためのコードが埋め込まれたサイトもあるという。

[Warwick Ashford,Computer Weekly]
Computer Weekly

 オンラインショップは脆弱(ぜいじゃく)性まみれであり、業界を挙げて早急に改善する必要があると研究者は警告する。

Computer Weekly日本語版 12月7日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 12月7日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 WhiteHat Securityによれば、オンラインショップにはOpen Web Application Security Project(OWASP)が「非常に危険」または「高リスク」に分類する「深刻な」脆弱性が平均13件含まれるという。

 このセキュリティ企業の研究者は、全オンラインショップの約半分が少なくとも1件のセキュリティの欠陥を含み、平均23種類の脆弱性が存在することも明らかにしている。

 WhiteHat Security脅威リサーチ部門のバイスプレジデント、ライアン・オライリー氏は次のように警告する。「小売企業には、Webサイトのセキュリティについて果たすべき重要な役割があることは明らかだ。小売企業は、消費者がアクセスするWebアプリケーションを多数公開しており、個人情報と財務情報を両方保持している」

 「小売企業が、Webアプリケーションの深刻な脆弱性全てを解決するのは簡単なことではない。最も深刻な脆弱性を修正するだけでも長い時間がかかる。適切な解決策を実装するのに平均205日を要する」(オライリー氏)

 WhiteHat Securityの研究者によれば、小売企業が優先順位を付けて修正しているのは、見つかった脆弱性の半分以下だという。

 深刻な脆弱性が複数あると、企業のビジネスリスクだけでなく、その脆弱なWebサイトの利用者にも脆弱性が広がるリスクが高まるとオライリー氏は話す。

 「小売企業は、深刻なセキュリティの欠陥やリスクの高い欠陥を優先的に解決することで、深刻な脆弱性が攻撃にさらされたまままの期間を短くする見込みはある」

 最近、セキュリティ企業RiskIQの研究者が、ショッピングカートソフトウェアの脆弱性を利用してEコマースを侵害し、支払いに使用されるカード情報を盗むキーロガー攻撃を発見した。

 RiskIQによれば、この攻撃はMagecartと呼ばれ、JavaScriptコードをサイトにインジェクションすることで支払いに使われるカード情報を入手する。

 RiskIQは、Eコマースサイトを運営する企業はインテグレーターやコントラクターとパートナー関係を結ぶべきだと勧告する。そうすれば、コンプライアンスの最低要件を保証していることを検証できるだけでなく、パートナーが使用するテクノロジーと、Eコマースの強化や堅牢(けんろう)なセキュリティ維持についてのパートナープロセスの透明性を実証することもできる。

 Eコマースサイトの管理者は、推奨のセキュリティ制御とベストプラクティスに対する親和性と適合性を確保し、全てのOSとWebスタックソフトウェアが最新状態に保たれていることも確かめなければならない。

 5925社のオンライン小売企業が、クレジットカード情報の入手を目的に設計されたコードを知らないうちに含んでいたことをオランダの開発者ウィレム・デ・グルート氏が見つけて以降、オンラインショップのセキュリティに厳しい視線が注がれるようになった。

 根本原因は、Webアプリケーションのセキュリティが貧弱なことにある。デ・グルート氏は自身のブログに次のように記している。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news073.jpg

インテージとプレイドが連携、オフライン購買履歴から「価値観」を推定してWeb接客
インテージは、同社が提供する小売業向け生活者の見える化ソリューション「Genometrics(...

news133.jpg

電通デジタルとヒトクセ、リッチなダイナミックバナーを広告を手軽に制作・配信できるサービスを提供
電通デジタルはヒトクセと共同で、ダイナミッククリエイティブバナーの制作・配信ソリュ...

news016.jpg

そのKPIは本当にKPIなのか? 数字に振り回されないための基本的な考え方
そもそもKPIはどのような考え方で設計すべきでしょうか。成果を出すためのツールとして使...