換金性の高い商品を取り扱うWebサイトへのセキュリティ対策とは
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」7月11日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・日々起こる不正アクセス、そもそも「不正アクセス」とは何を指すのか?
・ビジネスロジックを踏まえたセキュリティ対策の必要性
今回の解説ニュース
Webサイトに不正アクセスがあり、会員情報が盗まれたり、書き換えられたりした可能性があるということです。換金性の高い商品を取り扱うWebサイトのセキュリティで気を付けるべきポイントについて説明します。
今回のインシデントでは、海外のIPアドレスからサイバー攻撃があり、会員登録情報の一部が窃取された可能性と、会員登録情報の一部が書き換えられていたことが判明しました。対象者に対しては、個別に連絡を進めているということです。
対策として、当該サイトを一時停止し、全会員のパスワードを初期化しました。また、被害拡大を防止するために、これまでの電子ギフトコードの表示画面停止に加え、登録情報の変更画面なども停止しています。再発防止策として、セキュリティ体制のさらなる強化を図り、情報管理の徹底に努めるということです。
日々起こる不正アクセス、そもそも「不正アクセス」とは何を指すのか?
不正アクセスとは、本来権限を持たない人やプログラムが、サーバやシステムへ侵入する行為です。不正アクセスが行なわれた結果、サーバやシステムが停止してしまったり、保存されていた機密情報が漏えいしてしまったりして、インシデントにつながる可能性があります。
例えばAさんが、スマートフォンでいつも遊んでいるゲームがあったとします。ゲームにはキャラクターを育成したり、強いアイテムを購入する機能があって、それらを継続して行うためには、ポイントを購入する必要があります。Aさんは、毎日ゲームで遊んでいるうちに、ポイントを購入しなくても、アイテムを手に入れる方法を見つけました。いわゆる、脆弱性ですね。Aさんは、この脆弱性を突いて、課金せずにアイテムを無限に手に入れることができました。しかし、ゲームの運営元はAさんの不正行為に気が付き、アカウントが停止された上で、Aは不正アクセス禁止法違反で検挙されることになります。
このように、ホームページの改ざんや情報窃取、踏み台行為に限らず、本来はシステムで許可されていない行為に及ぶと、不正アクセスに該当する場合があります。つまり「できる」と「やっていい」は必ずしも一致しないので、それらを見誤ると不正アクセスに該当する可能性があります。ちなみに、不正アクセスはDDoS攻撃など、様々なサイバー攻撃の一種として定義されることが多いようです。
その他のトピック
ビジネスロジックを踏まえたセキュリティ対策の必要性
(全文はこちら)