「トコちゃんドットコムECサイト」に不正アクセス、XSSの記述のある不審な注文
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」11月22日の放送内容を一部抜粋しご紹介します
今回のトピック!
・ニュース解説
・不正アクセス禁止法について
・XSSの被害が発生する過程と、その対策
ニュース解説
ECサイトに不正アクセスがあり、個人情報やクレジットカード情報が漏洩した可能性があるということです。今年に入ってよく見られるようになった、ECサイトの注文情報から管理画面の脆弱性を狙ったサイバー攻撃の内容と対策について説明します。
今回のインシデントは、ECサイトのサーバ内に管理対象外のファイルが発見され、管理画面からクロスサイトスクリプティングの記述がある不審な注文情報が確認されたため、第三者機関による調査をしたところ、ECサイトで購入したユーザの個人情報やクレジットカード情報が漏洩し、不正利用された可能性があることを確認したということです。
インシデントの原因として、ECサイトの脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたと発表されています。対策として、不審な注文情報やファイルを確認した段階でECサイトを停止しており、個人情報保護委員会に報告し、所轄警察署にも申告をしています。また、再発防止策として、システムのセキュリティ対策と監視体制の強化を行うということです。
不正アクセス禁止法について
今回のインシデントも含めた不正アクセスは、不正アクセス禁止法によって裁かれます。不正アクセス禁止法の内容について、簡単に説明します。
不正アクセス禁止法とは「不正アクセス行為の禁止等に関する法律」の略称で、コンピュータが通信を行う際に、不正アクセスとその助長行為を規制する日本の法律です。不正アクセス行為をした者は、3年以下の懲役または100万円以下の罰金に処せられるとされています。
不正アクセス行為を簡単に説明すると、インターネットなどのネットワークを通じて、アクセス制御機能を持つコンピュータにアクセスして、他人のパスワードを入力したり、システムの脆弱性をついたりして、認証の制限を突破してシステムが利用可能な状態にする行為です。なお、アクセス制御機能は別のコンピュータで行っていた場合も含まれるということです。
例えば、ECサイトにログイン画面があって、試しに他人のパスワードを予想して入力してみたり、SQLインジェクションの値を入力してみたりして、うっかりログインできてしまうと、立派な不正アクセス行為になってしまうということです。気を付けましょうね。ちなみに、不正アクセス禁止法の処罰対象は故意犯とされており、過失犯と未遂犯は対象外とされています。
その他のトピック
XSSの被害が発生する過程と、その対策
最近よく発生している、注文情報からクロスサイトスクリプティングが発火し、ECサイトが改ざんされてしまう被害を防ぐためには、管理画面に対しても脆弱性を洗い出して修正することが必要です。実際に被害が発生する過程と、その対策について説明します。(全文はこちら)