昨年の秋ごろより、ECサイトの情報漏えいが相次いでいます。
増加傾向にあるのがフォームジャッキングと呼ばれる手口。
顧客が商品を選びカートに入れるまでは何も変化はありませんが、クレジットカード情報の入力フォームに偽の入力フォームを忍ばせる手口です。
サイト改ざん内容/伊織ネットショップ - タオル専門店「伊織」
https://www.i-ori.jp/shop/pressrelease/20181024owabi-site.pdf
上記のECサイトの改ざん事例においては購入者はクレジットカード情報を偽のフォーム、正規のフォームのものと二度で入力させられ、偽のフォームからクレジットカード情報が漏えいしたもののと推測されます。
なぜ、流出事故が発生してしまうのでしょうか。いくつか考えられる要因について考えます。
- 機密に扱うべき重要な管理情報に類推されやすいURLやパスワードを使用し、これらが変更されないまま運用が続いた。
- システムのバージョンアップなどが実施されなかった。
- ベンダーが提供する脆弱性を補修するためのアップデートが行われなかった。
これらはあくまで一例ですが会員制のECサイトのような高度な機能を実装したシステムほど、メンテナンスには特段の技術が必要となり運用に関わるコストが増します。
通常は別の環境に本番サイトと同一のミラーリング環境を用意→テスト実装→デバッグ→本番反映→確認といったフローを経てバージョンアップやバッチを充てることになります。
またオープンソースのプログラムを導入した場合は初期構築が容易な反面、ソースコードが公開されているためプログラムの脆弱性なども発見されやすく、Webサイトが攻撃者の対象となるリスクが増します。
個人情報流出が発覚してからでは時既に遅く、その後の対応次第によっても企業は信頼を失墜させ、その損害は決して小さいものではありません。
安全な運用を持続していくためにも企業にも相応のリテラシーが必要であり、随時パスワード変更の実施やメンテナンスを行うなど運用を定期的に見直し、改善に努めていかなくてはなりません。