不正アクセスからECサイトを守る。

このエントリーをはてなブックマークに追加
投稿者:chikunai 投稿日時:2014-03-09(日) 02:46

昨今、ECサイトに不正アクセスが大きなニュースとして取り上げられたと思います。犯人が検挙されていない以上、どこのだれがやったのか不明です。企業も最近は、自社システムから個人情報が抜き取られた形跡は無い。というのがテンプレート化していますw。いや、どこか絶対流出しているでしょ。と突っ込みたい。そうでないと、100万人以上の会員を抱えるECサイトで、ログイン失敗も含めた大量の不正アクセスのがある訳が無い。と思う訳です。

不正アクセス事件、ECだけ振り返ってみましょう。私の記憶では2013年3月から始まってます。

2013年3月 JINS 2,059件 クレジットカード情報が流出
http://www.jins-jp.com/illegal-access/info.html

2013年4月 eBookJapan 被害無し
http://www.ebookjapan.jp/ebj/information/20130405_access.asp

2013年5月 ディノス 111万件中15,000件成功 個人情報は流出していない
http://www.dinos.co.jp/guide/info/pdf/20130509.pdf

2013年5月 三越 8,289件 個人情報が流出
http://www.mitsukoshi.co.jp/notice/89.html

2013年10月発表(4月17日〜7月26日) セブンネット 15万件 顧客情報・カード情報が流出
ニュースリリースは現在掲載されていない。

2014年1月 スタイライフ 24,158件 クレジットカード情報流出
http://corp.stylife.co.jp/news/R20140122.pdf

ECで絞ると意外に少ない。自社の個人情報流出は、多くの企業で無いと公表されています。あとディノスが最大級ですね。メディア系も入れると、NTT東日本、Yahoo!、任天堂、@nifty、GREE、Ameba、はてな等、とてつもない数を不正アクセスされています。以下PDFがまとまっているので、セキュリティ担当者はぜひご閲覧を。

http://mneme.blog.eonet.jp/default/files/huseiakusesujirei.pdf

多くの企業は、これらの事件を元に既に対策をされていると思います。会員のパスワード管理は会員の責任ではありますが、企業としても何もしなかったとなれば責任を追及されてしまいそうです。もし対策がまだの企業、または利用者視点でどう対策されているのか知りたい方、簡単な対策を記載します。

攻撃者の狙いは換金です。

  • クレジットカード番号を取得して、換金性の高いブランドバック等を購入・入手する。
  • ポイントをAmazonギフト券などの金券への換金、攻撃者のポイント口座へ交換する。
  • 個人情報、メールアドレスを名簿業者に売却する。

取るべき対策は見えて来ます。

  • 不正アクセスされても、攻撃者が欲しい情報が取れないようにする。したいことができないようにする。
    • クレジットカード情報は下4桁を残して*で埋める。クレジットカード情報は編集機能を無くし、追加と削除だけにする。これでクレジットカード情報は取り出せない。もしくは、クレジットカード番号の保存をクレジット決済代行に押し付ける。という手もある。ただし、奪取したアカウントのクレジットカードを使って、商品を購入されることは防げない。
    • 金券への換金、ポイント交換を止める。止めれない場合は、さらに別パスワードを設ける。(2フェーズ認証)実際やれているところは。。。
    • 不正アクセスを完全防ぐ事は出来ないという意識の変更(笑)。氏名・住所・電話番号などを伏せるのはサイト利便性から難しいので。
  • 不正アクセスログインの検知手段の確立。そもそも気づけないと意味が無い。気づかない方が幸せ、という場合もあるが。
    • ログインページのPV数の増減。
    • ログイン成功、失敗回数の定点観測と監視。
    • ログイン失敗の解析(IPアドレス毎の失敗数を見ればOK、ただしボットネットが使われたら。。。)
  • もっと基本的なところでは
    • パスワードの長さは6文字以上など、複雑さを難しくする。あとは辞書に登録されているパスワードを使えないようにする。しかし、昨今はどこからか流出したパスワード情報を流用した不正アクセスが疑われるため、どちらかというとパスワード変更を定期的に促す、強制的に変更させたほうが良さそう。
    • アカウントにメールアドレスを使うのを止める。アカウント作成の際に、ひと手間がかかるデメリットを享受するば、流出したメールアドレスとパスワードの組み合わせでは、ログインできなくなります。

といったあたりでしょうか。クレジットカード情報の編集機能をやめるのはすぐにできそうです。

ログイン失敗のIPアドレス毎のログ解析も、以下Linuxのコマンドなら以下の通り簡単に出来ます。Apacheの標準のアクセスログのフォーマットである場合、をIPアドレスの列は左から一つ目なので、「$1」と指定すればざっと簡単に見れます。※Windowsの人は、Excelでがんばって(汗

  1. cat access_log | awk '{print $1}' | sort | uniq -c | sort -r | more

中小企業でオープンソースのパッケージソフトを利用している。ASPを使っている。モールに出展している場合、それぞれの開発・運営元に働きかけてみて下さい。オープンソースのパッケージソフトウェアであれば、改修は可能ですので、開発元に相談してみてば対策版を無償でリリースしてくれるかも。リリースしてくれなかったら、知り合いのプログラマ、取引先の開発会社に頼めば、改修出来ます。

攻撃手法は日進月歩であるため、日々セキュリティのニュースに網を張っておく必要があります。また、ログ等を確認した際、あれっ、これはおかしい、もしや、といった視点を忘れないようにし、なるべく未然に、最小限の事故で防ぎたいものです。その際、なるべく手間はかけたくないですね。攻撃者に手間がかかることは、嫌いなので。嫌がらせはの視点は大事です。

※2014年4月28日 加筆修正。




コメント(0)

新しいコメントの投稿

このフィールドの内容は非公開にされ、公表されることはありません。
  • 使用できるHTMLタグ: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <img> <table> <tr> <th> <td>
  • 行と段落は自動的に折り返されます。
  • You can use BBCode tags in the text. URLs will automatically be converted to links.
  • 次のタグを使用してソースコード構文をハイライトすることができます。: <code>, <blockcode> The supported tag styles are: <foo>, [foo].
  • You may insert videos with [video:URL]
  • ウェブページアドレスとメールアドレスは、自動的にハイパーリンクに変換されます。

書式オプションに関するより詳しい情報...

CAPTCHA
この問題はユーザが人間であるかどうかをテストし、スパムによる自動投稿を防ぐためのものです。
Image CAPTCHA
Enter the characters shown in the image.
Drupal theme by Kiwi Themes.