オンラインショップは脆弱(ぜいじゃく)性まみれであり、業界を挙げて早急に改善する必要があると研究者は警告する。
WhiteHat Securityによれば、オンラインショップにはOpen Web Application Security Project(OWASP)が「非常に危険」または「高リスク」に分類する「深刻な」脆弱性が平均13件含まれるという。
このセキュリティ企業の研究者は、全オンラインショップの約半分が少なくとも1件のセキュリティの欠陥を含み、平均23種類の脆弱性が存在することも明らかにしている。
WhiteHat Security脅威リサーチ部門のバイスプレジデント、ライアン・オライリー氏は次のように警告する。「小売企業には、Webサイトのセキュリティについて果たすべき重要な役割があることは明らかだ。小売企業は、消費者がアクセスするWebアプリケーションを多数公開しており、個人情報と財務情報を両方保持している」
「小売企業が、Webアプリケーションの深刻な脆弱性全てを解決するのは簡単なことではない。最も深刻な脆弱性を修正するだけでも長い時間がかかる。適切な解決策を実装するのに平均205日を要する」(オライリー氏)
WhiteHat Securityの研究者によれば、小売企業が優先順位を付けて修正しているのは、見つかった脆弱性の半分以下だという。
深刻な脆弱性が複数あると、企業のビジネスリスクだけでなく、その脆弱なWebサイトの利用者にも脆弱性が広がるリスクが高まるとオライリー氏は話す。
「小売企業は、深刻なセキュリティの欠陥やリスクの高い欠陥を優先的に解決することで、深刻な脆弱性が攻撃にさらされたまままの期間を短くする見込みはある」
最近、セキュリティ企業RiskIQの研究者が、ショッピングカートソフトウェアの脆弱性を利用してEコマースを侵害し、支払いに使用されるカード情報を盗むキーロガー攻撃を発見した。
RiskIQによれば、この攻撃はMagecartと呼ばれ、JavaScriptコードをサイトにインジェクションすることで支払いに使われるカード情報を入手する。
RiskIQは、Eコマースサイトを運営する企業はインテグレーターやコントラクターとパートナー関係を結ぶべきだと勧告する。そうすれば、コンプライアンスの最低要件を保証していることを検証できるだけでなく、パートナーが使用するテクノロジーと、Eコマースの強化や堅牢(けんろう)なセキュリティ維持についてのパートナープロセスの透明性を実証することもできる。
Eコマースサイトの管理者は、推奨のセキュリティ制御とベストプラクティスに対する親和性と適合性を確保し、全てのOSとWebスタックソフトウェアが最新状態に保たれていることも確かめなければならない。
5925社のオンライン小売企業が、クレジットカード情報の入手を目的に設計されたコードを知らないうちに含んでいたことをオランダの開発者ウィレム・デ・グルート氏が見つけて以降、オンラインショップのセキュリティに厳しい視線が注がれるようになった。
根本原因は、Webアプリケーションのセキュリティが貧弱なことにある。デ・グルート氏は自身のブログに次のように記している。
続きを読むには、[続きを読む]ボタンを押して
会員登録あるいはログインしてください。
Yahoo!広告がLINE広告と連携 「LINE NEWS」面への配信を開始
ヤフーとLINENが広告事業で初めての連携。
人はなぜFacebookを離脱したくなるのか? プライバシー懸念を上回る理由
さまざまな懸念もよそに拡大する巨大SNS。一方でそこからログアウトする人々は何を思うの...
化粧品の二次流通市場規模は推計1555億円――メルカリとアイスタイル調査
二次流通市場購入者の40.1%が、使ったことがない化粧品を試すための“トライアル消費”...
ITmediaはアイティメディア株式会社の登録商標です。
