Oracleのeコマースソフトウェアについて、セキュリティ専門家はデータ流出のリスクがあると指摘する。原因はソフトウェアの欠陥ではなく、設定ミスにある。どういう問題なのか。
セキュリティ専門家によると、Oracleのクラウド型eコマース(EC:電子商取引)ソフトウェア「NetSuite SuiteCommerce」を介してデータが流出するリスクがある。原因はNetSuite SuiteCommerceの脆弱(ぜいじゃく)性ではなく、ユーザー側の“設定ミス”にある。何に注意が必要なのか。
NetSuite SuiteCommerceの中核機能の一つは、eコマースの公開ストアを構築して展開する機能だ。公開ストアの機能があることで、認証されていない利用者が商品を登録したり購入したりできるようになる。公開ストアには、利用者データを保存する仕組み「Custom Record Types」(CRT)がある。
セキュリティベンダーAppOmniでSaaS(Software as a Servive)最高研究責任者を務めるアーロン・コステロ氏によると、CRTのアクセス制御のための設定項目は複雑で、ユーザー側で間違った設定をする恐れがある。設定が正しくないと、悪意のあるアプリケーションプログラミングインタフェース(API)の呼び出しに対してCRTが応じてしまい、公開ストアからのデータ盗難が可能になると同氏は説明する。
コステロ氏は、「知らないうちに公開ストアが外部からアクセス可能になり、データが盗まれる危険がある」と警鐘を鳴らす。同氏によると、特に狙われやすいと考えられるデータは登録者の住所や電話番号といった個人情報だ。「数千社が影響を受けている可能性がある」(コステロ氏)
今回の問題による被害状況について、コステロ氏は本稿執筆時点で判明していないと説明する。同氏によると、Oracleは不正アクセスがあったかどうかを判断するためのNetSuite SuiteCommerceのログ情報を提供していない。同氏によれば、不正アクセスがあった疑いがある場合は、Oracleに連絡してログ情報の提供を要求することが推奨される。公開ストアへのアクセス権限の設定を変更することが、不正アクセスを防ぐための手段になる。しかし、正当なユーザーがアクセスできなくなる恐れがあるので、慎重に判断しなければならないという。
コステロ氏は以前、SalesforceやServiceNowなど他ベンダーのeコマースソフトウェアについても同様の問題を発見しているという。同氏によれば、SaaSのユーザー企業の大半が、セキュリティ人材やノウハウの不足から、データ保護対策を十分に講じられていない。「今回のように、利用しているSaaS製品の設定ミスによるリスクを把握していないケースもある」(コステロ氏)
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
