オンラインショップは脆弱(ぜいじゃく)性まみれであり、業界を挙げて早急に改善する必要があると研究者は警告する。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 12月7日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
WhiteHat Securityによれば、オンラインショップにはOpen Web Application Security Project(OWASP)が「非常に危険」または「高リスク」に分類する「深刻な」脆弱性が平均13件含まれるという。
このセキュリティ企業の研究者は、全オンラインショップの約半分が少なくとも1件のセキュリティの欠陥を含み、平均23種類の脆弱性が存在することも明らかにしている。
WhiteHat Security脅威リサーチ部門のバイスプレジデント、ライアン・オライリー氏は次のように警告する。「小売企業には、Webサイトのセキュリティについて果たすべき重要な役割があることは明らかだ。小売企業は、消費者がアクセスするWebアプリケーションを多数公開しており、個人情報と財務情報を両方保持している」
「小売企業が、Webアプリケーションの深刻な脆弱性全てを解決するのは簡単なことではない。最も深刻な脆弱性を修正するだけでも長い時間がかかる。適切な解決策を実装するのに平均205日を要する」(オライリー氏)
WhiteHat Securityの研究者によれば、小売企業が優先順位を付けて修正しているのは、見つかった脆弱性の半分以下だという。
深刻な脆弱性が複数あると、企業のビジネスリスクだけでなく、その脆弱なWebサイトの利用者にも脆弱性が広がるリスクが高まるとオライリー氏は話す。
「小売企業は、深刻なセキュリティの欠陥やリスクの高い欠陥を優先的に解決することで、深刻な脆弱性が攻撃にさらされたまままの期間を短くする見込みはある」
最近、セキュリティ企業RiskIQの研究者が、ショッピングカートソフトウェアの脆弱性を利用してEコマースを侵害し、支払いに使用されるカード情報を盗むキーロガー攻撃を発見した。
RiskIQによれば、この攻撃はMagecartと呼ばれ、JavaScriptコードをサイトにインジェクションすることで支払いに使われるカード情報を入手する。
RiskIQは、Eコマースサイトを運営する企業はインテグレーターやコントラクターとパートナー関係を結ぶべきだと勧告する。そうすれば、コンプライアンスの最低要件を保証していることを検証できるだけでなく、パートナーが使用するテクノロジーと、Eコマースの強化や堅牢(けんろう)なセキュリティ維持についてのパートナープロセスの透明性を実証することもできる。
Eコマースサイトの管理者は、推奨のセキュリティ制御とベストプラクティスに対する親和性と適合性を確保し、全てのOSとWebスタックソフトウェアが最新状態に保たれていることも確かめなければならない。
5925社のオンライン小売企業が、クレジットカード情報の入手を目的に設計されたコードを知らないうちに含んでいたことをオランダの開発者ウィレム・デ・グルート氏が見つけて以降、オンラインショップのセキュリティに厳しい視線が注がれるようになった。
根本原因は、Webアプリケーションのセキュリティが貧弱なことにある。デ・グルート氏は自身のブログに次のように記している。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 11月16日号 Windows Server 2016のココが凄い
Computer Weekly日本語版 11月1日号 ネットワーク機器はもういらない
Computer Weekly日本語版 10月19日号 検知できないマルウェアの見つけ方
SaaS企業として驚異の継続率97% ServiceNowが考える、CX向上にDXが不可欠である理由
「ガートナー カスタマー・エクスペリエンス&テクノロジ サミット 2019」におけるServic...
博報堂DYメディアパートナーズ「メディア定点調査2019」 スマホ接触時間は1日117.6分に
メディア総接触時間は初の400分台、過去最高の411.6分に。
「Tableau 2019.2」発表、コミュニティーからリクエストが多かった新機能を多数追加
位置情報に基づく意思決定を支援するベクターベースのマッピング機能も。
ITmediaはアイティメディア株式会社の登録商標です。
