サイト運営者のためのWebサイトセキュリティ対策入門

【4】 ECサイトのセキュリティ「なぜ不正アクセスの被害を受けやすいのか?」

オンラインショップなどのECサイトは、ニュースでもよく見かける通り、これまで不正アクセスによる被害を数多く受けてきました。
しかし、大手のショッピングサイトならともかく、少ない人数で効率的な運営を目指す中小規模のECサイトでは、いまだにセキュリティ対策までは手が回らない場合も多いようです。

ECサイトはなぜ不正アクセスによる被害を受けやすいのか?
また、限られた予算・人員の中で効果的に防御するためにはどうすればよいのか?
今回はまず、セキュリティの観点から見たECサイトの特徴や注意すべき点を整理してみたいと思います。
2011年10月26日

ECサイトのセキュリティ

ECサイトはクレジットカード情報など悪用に繋がりやすい重要な情報を扱うため、狙われやすい

現在、Webサイトへの攻撃は金銭目的が中心と言われています。その場合、やはりクレジットカード情報が一番価値があると考えられますが、購入時に住所・氏名・メールアドレスはもちろん、職業や勤務先、生年月日や性別等を入力必須にしているサイトも多いようです。セキュリティ的には取得データはできるだけ絞った方が安全ですが、ビジネス的には様々な情報があればもちろん有利となるため、どうしても攻撃者の標的になりがちです。

被害件数が多く、損害賠償も高額、ビジネスに与える影響も大きい

Webサイトのセキュリティ事故は最近でも頻繁に報告されていますが、その中でも重要なデータを大量に扱うECサイトでの大規模な事故が目立っています。
また、近年はECを事業の中心においている企業も多く、そのような企業はWebサイトで事故が発生すると全社的な大ダメージを受けることになります。
一昔前は「サイトで情報漏えいが発生しただけでは大きなダメージにならない」などといわれていましたが、実際に会社が倒産してしまった例なども欧州で起こっています。

オープンソースのショッピングカート等を利用してECサイトを構築することが多い

以前からオープンソースのショッピングカートなどを利用してECサイトを構築するケースが多く見受けられます。ゼロから作るよりも安価で納期も早くメリットがあるのですが、セキュリティ的には大きく2つの注意点があります。

【A】 アップデートやセキュリティ対応が十分にできないこともあり得る

例: カスタマイズした箇所が多くアップデートが大変

ソフトウェアにはアップデートが不可欠なのは皆さんご存じだと思いますが、ショッピングカート等も例外ではありません。基本機能を大幅に変更したメジャーなものから小さな不具合を改修したマイナーなものまで、人気があるソフトウェアであればあるほど頻繁にアップデートされます。
ショッピングカートを利用したECサイトはほとんどの場合いろいろな部分をカスタマイズして作ります。そのため、アップデートする際にカスタマイズした箇所が正常に動作しない恐れがあります。
その為、アップデートする際の作業負荷や作業費用が高額になってしまい、セキュリティ的に問題があっても古いバージョンのまま稼働させてしまう場合があります。

例: ショップ立ち上げ時の開発業者が離れたり変わったりした

構築した開発業者との関係が良好であれば時間と予算しだいでソフトウェアを安全なものに更新できるのですが、うまく連絡が取れなくなってしまうという例もよく聞きます。開発会社がなくなってしまったり、トラブルがあって関係が切れてしまったりする場合があるようです。
他の業者に頼むとしても、別の会社が開発したものに手を入れるのをいやがる会社が多いです。手を入れる部分は一部だとしても、その変更が原因でほかの箇所に影響が出ないとも限らないからです。
また、カスタマイズした業者にその後のメンテナンスを依頼する場合は月々の運用費がかかります。初期構築時には開発費用は出しやすいのですが、月々のメンテナンス費用についてはなかなか捻出できない場合も多いようです。困ったときにすぐに対応してくれるような良好な関係を保つためにはメンテナンスの費用も頭に入れておくべきです。

【B】 脆弱性が残っているとオープンソースはより攻撃されやすい

脆弱性情報が公表されるため、運用者がそれに気が付かないと自社サイトが無防備な状態に
自動ツールで一斉に探って攻撃されるので、サイト規模や知名度に関わらず目を付けられる

オープンソースを利用している場合に気にしなくてはいけないことは、問題が見つかった場合はすぐに知れ渡り、そこを攻撃されるということです。私たちが提供しているWebサイトのセキュリティサービス「Scutum」の攻撃統計を見ても顕著なのですが、著名なソフトウェアの既知の脆弱性を突いた攻撃が非常に多いです。しかも攻撃は自動化されているため、攻撃者は一度に大量の攻撃を手軽に実行することが可能です。

オープンソースの脆弱性

今回はセキュリティ視点でのECサイトについて、特徴や注意事項をご説明しました。重要なデータを扱うことが多く、特にオープンソースソフトウェアを使っている場合は注意が必要だということがご理解いただけたかと思います。
次回以降、利用者側からみたECサイトのセキュリティについて、またECサイトの効果的なセキュリティ対策についてご案内する予定です。