10/19号 ② ECサイトの個人情報漏洩増加、JIPDECが注意喚起

セキュリティニュース

ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。

〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。

〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

ニュース概要

– 10月12日(日本時間)、日本情報経済社会推進協会(JIPDEC)より、ECサイトからの、クレジットカード情報等個人情報漏洩の恐れに対する注意喚起が出されています。

– 注意喚起では、近年ECサイトの規模に限らず、広範囲で脆弱性を狙った不正アクセス等による漏洩事故が増加しているとしています。

– 全般的な注意点としての6項目の他、サイトの構築・運用保守等を外部に委託している場合について、委託側・受託側それぞれに対する注意点も挙げられています。

AUSからの所感

全般的な注意点6項目としては「どのようなソフトウェアで構築されているかの把握」「OSやソフトウェア等の定期的な脆弱性情報の確認、セキュリティパッチ適用等に関する体制の構築・運用」「OSやソフトウェア等を最新のバージョンへアップデート」「不正アクセス等へのリスク対策の実施」「従業者へのセキュリティ教育の徹底」および「緊急性の高い脆弱性や不正アクセスを検知した際の対応手順や体制を構築し、従業者へ周知すること」が、構築・運用等の委託側には「ソフトウェア等の必要な知識を有し、自社と同等の実施体制を構築できる委託先を選定する」こと、受託側には「委託元に対して必要な情報を提供する」ことが挙げられています。

サーバー上で保持していたクレジットカード情報が奪取される事故の多発に対し、決済代行会社を利用し、自社にクレジットカード情報を保持しない仕組みが推奨されたことで、攻撃の手口の方も決済フォームを改ざんするものが主流となりましたが、いずれにおいてもECサイトを構築するフレームワーク等の脆弱性を突くことが主要な攻撃手段であり、WAF(Webアプリケーションファイアウォール)による有害なアクセスの遮断のみに依存せず、根本的な対策として各種ソフトウェアを最新のバージョンに保つことを忘れずに行うべきです。