こんにちは!先日(11月29日)、私はEC-CUBEカフェ@千葉UGの主催側ということで、「ECサイトのセキュリティを考える」というイベントが無事に終了しました。
(といっても、同じ主催側の株式会社Refine様の @kifr_9 さんに、ほとんど取り仕切っていただいてましたが…。いつも大変助かっています!ありがとうございます!)
その終了後、私はこんなことを呟いていました。
…そこから、随分と時間が経ってしまいました(笑)ごめんなさい。
ECサイトには、サイト制作(ベンダー)側だけではなく、店舗運営者自身も、セキュリティへ意識を向けておくことが必要です。
また、店舗運営者自身が直接サイト制作に携わっている場合も含めて、予めパッケージの仕様書(開発ドキュメント等)に示されている通りの標準的な対応・対策、また場合によってはそれ以上のセキュリティ対策を行っておくことが肝要です。
ここでは、先日行われた勉強会の内容についてお伝えしたいと思います。
会の進行について
下記の進行手順で行われました。
当日のアジェンダ
- EC-CUBEカフェの説明(発表者: @kifr_9 さん)
- 皆さんの自己紹介
- 最新のEC-CUBE情報(発表者:しらこ)
- 「なりすまし・漏えい被害の事例をもとにしたSSL活用」(発表者:GMOグローバルサイン株式会社 松澤様)
- 以下のテーマについてディスカッション
1. サイト運営者とサイト製造者の間で、どのようにして責任の所在を明確化したら良いか
2. インシデントが起きる前の対策として運営者レベルでどのようなことができるか
3. 万が一インシデントが起こってしまった場合の行動フロー
会場は、柏の葉KOILの会議室を使用!当日はこんな雰囲気です
当日の会場は、株式会社Refine様 に広くてきれいな場所を選んでいただきました!
(大変感謝いたします!)
5分くらいの短い時間ではありましたが、
みなさんが和やかな雰囲気で、とても発表しやすかったです!
なりすまし・漏えい被害の事例をもとにしたSSL活用~GMOグローバルサイン様
GMOグローバルサイン様から、なりすましや漏えいの事例、SSLについてのお話をいただきました。
冒頭で聞いたお話で驚いたのですが、GMOグローバルサイン様では 日本の全SSLの50%以上のシェア を持っているとのこと!率直にすごいです。
WEBサイトのなりすましの被害が大きい
全体的に、下記のケースが多いとのことです。
- クレジットカード情報の不正利用
- ウイルス感染
- フィッシング詐欺による個人情報等の漏えい
実際の偽メール/偽サイトを見ながら、どこが怪しいのか全員で考えていきます。
皆さんは、個人情報を入力する際にサイトのどこを見ますか?
下記に一例を挙げますが、これは多くの人が見る場所のランキングです。
- 1位→SSLによって個人情報の暗号化をしているかどうか
- 2位→個人情報の利用目的(プライバシーポリシー)の開示しているかどうか
- 3位→過去に個人情報漏洩や不祥事がないかどうか
- 4位→Pマーク(プライバシーマーク)を取得してるかどうか
- 5位→組織の知名度
当日の参加者さんからは、「自分は騙されそうだ…」という声も聞かれました。
あくまでも一例ではありますが、URL(ドメイン)が怪しいかどうかも、ひとつの判断材料となりえます。たとえば、co.jpドメインは1社あたり1ドメインまでしか取得することができません。対して、
www.jcb-co.jp.○○
http:// から始まるドメイン(SSLとなっているhttps://ではない)
※当日の発表内容より引用
となっているものも「これは怪しいゾ」という、ひとつの判断材料となります。
(こういったものの判断に慣れていない方は、詳しい人の力を借りつつ慣れていきましょう!)
最近では無償SSL(Let’s Encrypt)というものも広く使用されていて、導入コストがかからないことから、フィッシングサイト自体にSSL(https://から始まるドメイン)も使用され始めていることも注意してください。
このサイトが正規のものか、非正規のものか今ひとつわかりづらいときは、サイトに変な日本語が入っていないか、また偽のURLが紛れ込んでいないかなどのポイントを押さえていくようにしましょう!
無償SSL(Let’s Encrypt)と有償SSLとの違い
SSLの種類もあり、 暗号化レベル自体は有償・無償でも違いはなく、値段の高さは審査のレベルの違いであるとのこと。
下記に、有償・無償SSLの主な違いを列挙します。
高価なものほど、審査期間が長い傾向にありますが信頼性は高くなっていきます。
- 無償SSL~何も認証するものがない。また、無償であることから突然サービスが終了するリスクも孕んでいます。
- ドメイン認証(DV)~比較的低コストで導入できます。
- 企業実在認証(OV)~コモンネーム(CN)だけでなく、第三者機関の情報を元にした企業名が入ります。
- EV認証SSL(もっとも厳格で、ショップ(店舗)用におすすめ!)~登記簿謄本や第三者機関のデータベースにより組織の実在性確認が入る。→会社名だけではなく住所も表示し、ユーザーに安心です。
しかしながら、高価なEV認証SSLを導入したとしても、万一ユーザー側がなりすましサイトの被害を受けてしまい、いざ裁判になったときにEV認証SSLを使用していることが有利に働くかどうかはわからないとのことです。したがって、一例ですが下記の対応が検討されます。
ショップ(店舗)で是非やっておきたい対応として、正規の店舗サイト上に「最近、当店のなりすましサイトが多くなっています。正規の店舗については○○○」などといった説明書きを、目立つように設けることが望まれます。そうした対策をとることによって、万一ユーザー側が偽のサイトで購入したときの、店舗運営者側のリスクヘッジにも繋がります。
また、実際になりすましサイトがあるかどうかは、時間をとってエゴサーチ・画像サーチなどで探すといったこともあるとのこと。
また、ECサイトの管理画面にアクセスする端末についても下記の対策が望まれます。
SSLの観点からは、まず管理画面にアクセスするデバイスを選ぶこと。また、クライアント証明書を入れていないとログイン出来ないようにすること。昔は、クライアント証明書と言えばInternet Explorerでしか入れない印象でしたが、今はGMOグローバルサイン様であれば「メール認証」で入ることが出来るとのことです。
証明書以外にも、そもそもECサイトの管理画面自体をIP制限している方は多いですが、たとえば持ち歩き用のノートPCで、一時的にVPNを張って会社のPCにアクセスしたりすることがありますが、VPN自体が1~2時間程度有効であることが多いので、移動の多い営業さんなどがVPNにアクセス出来る時間にノートPCを盗まれて、機密情報などが流出してしまうことがあるそうです。
ディスカッション~ECのセキュリティについて考える時間
最後に、当日以下のテーマについて皆で話し合いました。
- サイト運営者とサイト製造者の間で、どのようにして責任の所在を明確化したら良いか
- インシデントが起きる前の対策として運営者レベルでどのようなことができるか
- 万が一インシデントが起こってしまった場合の行動フロー
サイト運営者とサイト製造者の間で、どのようにして責任の所在を明確化したら良いか
契約書にセキュリティに関する規約・記載がなくても、制作会社側にも責任が生じるそうです。
(もちろん、運営者側の責任がなくなるわけではありませんので注意!)
インシデントが起きる前の対策として運営者レベルでどのようなことができるか
運営者側で出来ることとしては、まず人的なミス等のインシデントが起こって情報が漏えいする事例が多いとのこと。ヒューマンエラーによる、ID・パスワードの流出はもちろん、単純なものでFAXの送り間違いや、添付ファイルのミスによる情報漏えい等があります。
また、運営者として望ましい方向としては、週次くらいで良いのでセキュリティのニュースをチェックすることが挙げられました。最近では、ブログで公開してくれている人がいます(私もがんばります!笑)。また、RSSで情報を取得してSlackに情報を自動で飛ばすようにして、ニュースを自動で受信するような体制を構築するのも良いですね。
最近の動向を把握していくことは、何もすべての情報を完璧に理解する必要があるということではありません。最初は意味がわからなくても良いのです。意識的に調べていくことによって、次の行動のきっかけが生まれることが、何よりも大切なことです。
EC-CUBE使用者に多い事例と対策
- ちょっとした設定ミスが引き金になってしまうことがある(開発ドキュメント等を見直す)
- 特にEC-CUBE 2系に多い事例として、dataフォルダがサーバー上のpublic_html(公開フォルダ)に暴露されている、ログが入手できてしまう、といったことが多い
- 昔のバージョンのまま放置して、既知のバグや脆弱性が狙われてしまう
- パーミッション設定が、777のまま
上記は危険なので、絶対にやらないようにしてください。
他にも店舗運営者としてありがちな事例と対策として
- むやみやたらに変なサイトを開かない、変なファイルを開かない
- 情報漏えいというと、ハッカーが攻撃するイメージがあるが、基本的な部分の対応が肝要(アップデート・メンテナンス対応や、開発ドキュメントの遵守等)
- オフィスのホワイトボードにパスワードが書いてあるなど、機密情報を物理的に暴露をしない
- パスワード管理のフローを見直す
- パスワードの定期変更をするも、かえって5個・10個の使い回しが発生していると意味がない
- PCやスマホであれば、生体認証(指紋認証Touch ID・顔認証Face ID)の導入
(※PCを閉じるだけでセキュアな状態を作ることができる)
かつ、パスワードを30~40文字くらいでランダム自動生成して、Googleアカウント等に記憶させてしまう。パスワードを忘れたら、再発行するなど
(※その際パスワードを再発行したときに、生のパスワードを書いてくるところは解約したほうが良い)
万が一インシデントが起こってしまった場合の行動フロー
まず、インシデントについては、いつでも「自分のところにも発生する可能性がある」と考えることが肝要です。いざ、インシデントが発生したときの対応フローとしては、
- 「インシデントが発生したらしい(やられたらしい)」という状況の発生
- 1時間以内にサイトを止める(権限のある人が決める、腹をくくる)
といったことです。
インシデントが発生したときには、気づいたときにサイト運営を止めることが重要です。そのままにしておくと、余計に被害が広がってしまう可能性があります。ですから、個人情報の流出等に関して、リリースが出るまでに半年以上かかるといった対応はおかしいと考えたほうが良いでしょう。
また、サイトのログに関しては最低限1年以上残すようにしましょう。
おわりに
今回のEC-CUBEカフェはいかがでしたでしょうか。
皆様に、何かしらお役に立てると幸いです。
また、良かったらご興味ありましたら、是非次回以降にご参加・お集まりいただけると嬉しいです。
それと、セキュリティ関連の話について、当サイトでも、まだまだお伝えしきれていない・扱いきれていない内容がまだまだたくさんあります。
そうした情報については、後日また改めて更新していきたいと思います!
次回のEC-CUBEカフェについては
ここは私個人のサイトでご案内ができないため、詳しいことが決まりしだい、改めて運営側からご案内いたします!
本決定後は、当サイトからでもご案内いたします!
それでは、また。
