第一四半期ではWebサーバーの移管をお引受けする案件が連続して2件あり、現在も提案段階の案件があります。
サーバー移管の決定に至った大きな要因として「被害リスク」があり、これを明確に示したことが危機意識が高まり発注に繋がったものと捉えています。

提示した内容を踏まえて具体的に例を挙げたいと思います。

想定されるリスク事項

1.顧客の個人情報が公開領域に格納されているリスク
2.平文(非暗号化)通信による漏えいリスク
3.サポートが終了したカートプログラムを利用し続けるリスク
4.サポートが終了したphpバージョンを利用し続けるリスク

1.顧客の個人情報が公開領域に格納されているリスク

通販サイトを運用されている取引先様にて、顧客情報(住所、氏名、電話番号等)や購買情報(いつ、何を購入したか等)といった個人情報が暗号化されないまま、サーバー内の公開領域に格納されておりました。

通常、顧客情報は公開サーバーとは別に備えた非公開サーバー内のデータベースに格納され、非公開サーバーへは外部から直接アクセスできない仕組みをとり、公開サーバーが不正アクセスにあっても、重要な情報が格納された領域へ簡単にアクセスできないように設計することが一般的です。

この件の想定リスクは、脆弱性を狙った不正アクセス等が行われ、すべての顧客の個人情報を不正に複製、または削除される可能性となります。
顧客への被害対応はもちろん、組織としての信用が失墜します。

2.平文(非暗号化)通信による漏えいリスク

通販サイトを運用されている取引先様にて、会員登録時&商品購入の都度、利用者が入力された情報は暗号化されずにサーバーへ送信される状態にありました。

利用者がカフェ等の公共Wi-Fi環境にて通販サイトを利用した際に通信を第三者に傍受された場合、暗号化されていないため、容易に入力情報を盗み取られてしまうリスクがあり、盗み取られた時点では気付かず、悪用された時点で初めて被害にあったことに気付く状態になります。

クレジットカードの使用履歴や銀行振込の入金時期等から利用日時の特定は可能なため、どの通販サイトを利用した際に盗み取られたかが分かり、被害対応を迫られることになります。

3.サポートが終了したプログラムを利用し続けるリスク

通販サイトを運用されている取引先様では、利用するショッピングカートシステムが該当し、企業サイトを運用されている取引先様では、お問い合わせを受付けるメールフォームプログラムが、それぞれ導入から10年前後経過しており、いずれも開発と更新が停止しているうえ、既知と未知の双方の脆弱性の存在有無、また脆弱性が補修されずに放置されている恐れがありました。

過去、現時点、将来においての安全性がまったく確認されていない状態であるため、法人組織として事業活動を行ううえで、個人情報を取り扱うプログラムとしては、あまりにも安全性と信頼性が低い状態にあることを指摘いたしました。

4.サポートが終了したphpバージョンを利用し続けるリスク

一般的にWebサーバーには、プログラムの利用を可能にするため、「phpプログラム」と呼ばれるソフトウェアがインストールされております。移管をご支援する取引先様が利用されている多くのケースでは、この「phpプログラム」のバージョンが古い状態にあります。

バージョンが古い場合、その後に公表された脆弱性の補修がなされていない恐れがあり、サポートが終了としているため、発見されつつも公表されずに現在に至っている脆弱性の存在も否定できず、安全性が担保できていない状態にあります。

・バージョン別サポート期間

赤色のバージョン:脆弱性補修プログラムの提供も終了しており放置された状態
肌色のバージョン:機能改善・不具合修正は行われず、脆弱性補修プログラムの提供のみが実施されている状態
緑色のバージョン:脆弱性補修プログラムの提供はもちろん、機能改善・不具合修正の提供も行われてる状態

・?PHP 5.3.3 が該当する公表済みの脆弱性リスト
https://www.sanei-fcg.com/blog/wp-content/uploads/2018/08/vulnerability_list.pdf

多くのサーバー会社では、利用状態に合ったバージョンを選べるよう新旧複数のバージョンがラインナップされていますが、サーバー会社によっては、旧バージョンの提供のみといったケースもあります。

 

被害をまとめますと下記のような事象が考えられます。

閲覧者・利用者の被害

  • Webサイト上に埋め込まれたウィルスにより閲覧者が感染し、閲覧者の端末が情報漏えい、または踏み台の被害に遭う
  • Webサイトの掲載内容が改ざんされる
    ・政治的なメッセージや処刑動画など非人道的な内容が掲載される恐れ
    ・正規の問い合わせフォームを装ったメールフォーム等により、閲覧者が入力情報が引き抜かれる
  • 流出した個人情報が悪用され、クレジットカードによるなりすまし購入や架空請求等の被害を受ける

組織の被害

  • 不正アクセス被害による個人情報の流出であっても、wikipediaやブログ等に経緯や流出件数等の情報が残り続ける
  • 踏み台とされ他の企業/組織のサイバー攻撃に加担させられる
  • 被害に遭ってしまった利用者への一次対応
  • 再発防止策の考案・実施(手間と費用)または事業精算の手続き

組織の被害も軽微ではありませんが、最も被害を受けるのはWebサイトの「閲覧者」や「利用者」になります。
セキュリティを確保することは、自社のためではなく、これらユーザーのためだということを理解することが重要です。

被害が発生してから動き出すと対応は後手に回ってしまい、さらなる信用の低下を招く事態にもなりかねません。
取引先様の利益に資するためにも、これらの提言を弱めることなく積極的に伝えていきたいと思います。