複数の研究者が、オンラインショップの現状に警鐘を鳴らしている。多くのオンラインショップにセキュリティ上の脆弱性が存在し、カード情報を入手するためのコードが埋め込まれたサイトもあるという。
オンラインショップは脆弱(ぜいじゃく)性まみれであり、業界を挙げて早急に改善する必要があると研究者は警告する。
WhiteHat Securityによれば、オンラインショップにはOpen Web Application Security Project(OWASP)が「非常に危険」または「高リスク」に分類する「深刻な」脆弱性が平均13件含まれるという。
このセキュリティ企業の研究者は、全オンラインショップの約半分が少なくとも1件のセキュリティの欠陥を含み、平均23種類の脆弱性が存在することも明らかにしている。
WhiteHat Security脅威リサーチ部門のバイスプレジデント、ライアン・オライリー氏は次のように警告する。「小売企業には、Webサイトのセキュリティについて果たすべき重要な役割があることは明らかだ。小売企業は、消費者がアクセスするWebアプリケーションを多数公開しており、個人情報と財務情報を両方保持している」
「小売企業が、Webアプリケーションの深刻な脆弱性全てを解決するのは簡単なことではない。最も深刻な脆弱性を修正するだけでも長い時間がかかる。適切な解決策を実装するのに平均205日を要する」(オライリー氏)
WhiteHat Securityの研究者によれば、小売企業が優先順位を付けて修正しているのは、見つかった脆弱性の半分以下だという。
深刻な脆弱性が複数あると、企業のビジネスリスクだけでなく、その脆弱なWebサイトの利用者にも脆弱性が広がるリスクが高まるとオライリー氏は話す。
「小売企業は、深刻なセキュリティの欠陥やリスクの高い欠陥を優先的に解決することで、深刻な脆弱性が攻撃にさらされたまままの期間を短くする見込みはある」
最近、セキュリティ企業RiskIQの研究者が、ショッピングカートソフトウェアの脆弱性を利用してEコマースを侵害し、支払いに使用されるカード情報を盗むキーロガー攻撃を発見した。
RiskIQによれば、この攻撃はMagecartと呼ばれ、JavaScriptコードをサイトにインジェクションすることで支払いに使われるカード情報を入手する。
RiskIQは、Eコマースサイトを運営する企業はインテグレーターやコントラクターとパートナー関係を結ぶべきだと勧告する。そうすれば、コンプライアンスの最低要件を保証していることを検証できるだけでなく、パートナーが使用するテクノロジーと、Eコマースの強化や堅牢(けんろう)なセキュリティ維持についてのパートナープロセスの透明性を実証することもできる。
Eコマースサイトの管理者は、推奨のセキュリティ制御とベストプラクティスに対する親和性と適合性を確保し、全てのOSとWebスタックソフトウェアが最新状態に保たれていることも確かめなければならない。
5925社のオンライン小売企業が、クレジットカード情報の入手を目的に設計されたコードを知らないうちに含んでいたことをオランダの開発者ウィレム・デ・グルート氏が見つけて以降、オンラインショップのセキュリティに厳しい視線が注がれるようになった。
根本原因は、Webアプリケーションのセキュリティが貧弱なことにある。デ・グルート氏は自身のブログに次のように記している。
続きを読むには、[続きを読む]ボタンを押して
会員登録あるいはログインしてください。
Webサイトのクラウド移行時に絶対変えるべき3つのセキュリティ対策
Webベースアプリのパフォーマンス&セキュリティ最適化まとめ
Facebookがモバイルアプリ用JavaScriptエンジン「Hermes」を公開
Copyright © ITmedia, Inc. All Rights Reserved.
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
