ECコンサル アラタナはeコマースを中心とした「新たな○○を創造する」会社です!

脆弱性放置のECサイトはリコールを放置している様なもの・・・2014年度まとめ

 

セキュリティーに敏感になっていますか?

顧客の個人データを多く抱えているECサイトを運営されているなら、「セキュリティーは良くわからないから・・・」では許されませんし、その許されなさ度合いも年々高まる一方です。

とはいえ、「セキュリティーはよくわからない」というのも、よくわかります。
そこで、非エンジニア系の私でもわかるように、超噛み砕いてお伝えしたいと思います。

 

脆弱性とは

2014年度も数多くの脆弱性情報がニュースになっていました。
ECに関連する重大な脆弱性も複数ありましたが、その他はどの程度なのでしょうか?

01

http://jvn.jp/report/index.html

さらっと確認してみたら、想像以上に公開されているんですね。かなり驚きです。

ところで、脆弱性とは?

脆弱性とは、コンピュータやソフトウェア、ネットワークなどが抱える保安上の弱点。正規の管理者や利用者など以外の第三者が保安上の脅威となる行為(システムの乗っ取りや機密情報の漏洩など)に利用できる可能性のある欠陥や仕様上の問題点のこと。
http://e-words.jp/w/%E8%84%86%E5%BC%B1%E6%80%A7.html

とありますが、よくわからないので、他の例で置き換えみると

車や家電など、身の回りの機器などを想像してほしいのですが、これらの機器は様々なパーツの組み合わせで、一つの機能をもった道具になります。
パーツは様々なパーツ製造会社が作っているわけで、EC等のWEBサービスも同様に、サーバー内のソフトウェアなどはパーツの様なもので、それを組み合わせて作られています。

パーツが原因で問題になる事例としてはリコールです。
リコールでは問題になるパーツを交換することで、正常(問題のない)な状態に戻します。

脆弱性への対応も、問題となるソフトウェア(パーツ)を、問題が無い物に変更する作業を行うことで解決します。
つまり、脆弱性の対応を行っていないのは、リコールが公になっている機器を使い続けるという事です。

リコールが公になっており、どんな事故が起きるか公開されているのであれば、逆に事故を再現できるわけで、脆弱性の対応を行っていないのは、脆弱性の対応をしていないサイトとわかれば、問題を再現できるということになります。

リコールが公になっている機器を使って商売できますでしょうか?
個人なら自己責任で済むでしょうが、商売であればお客様が被害を受けるわけで、この問題の重要度は簡単に理解できるのではないでしょうか。

脆弱性への対応は、手間ではありますが、そこまで難しくはありません。
正しい情報をいち早く(攻撃者よりも)入手して、正しく対処(交換)すればいいのです。
とはいえ、、、その体制を整えるのは困難なので、ここは専門家に頼った方がメリットは大きいとはいえます。

ところで、2014年度もECに関連する重大な脆弱性も複数ありました。
次に、具体的にどんなものだったのか?を説明していきましょう。

 

6月 OpenSSL脆弱性

サーバーからデータを受信し、ブラウザに表示させることでWEBサイトを閲覧することができます。
また、通信を行うとメモリに通信データを一時的に記録し、通信が終了すると破棄されています。
しかし、OpenSSL脆弱性で問題になる事象は、メモリ上のデータが破棄されず、サーバー外部に流出してしまう場合があります。

更に、OpenSSL脆弱性は、通信の安全性を担保するSSL通信に必要な秘密鍵を流出する恐れがあることが、事体をより深刻化させてしまいます。

つまり、通信したデータが流失するだけに留まらず、SSL通信で暗号化していたデータも、読み取れる状態になってしまうのです。

詳しくは「非エンジニア向けSSL解説:OpenSSLの脆弱性「HeartBleed」とは?」を参照ください。

 

10月 SSLv3 POODLE 脆弱性

SSL暗号化通信におけるSSLv3プロトコルに、中間者攻撃により通信データの解読が可能になる脆弱性が指摘されました。

中間者攻撃とは、PCを閲覧しているユーザーとサーバー間の通信の間(中間)に割り込んで、双方間の通信データを書き換えてしまう攻撃です。

通常はSSL通信を行うため、データは暗号化されているので解読することはできません。
しかし、SSLv3 POODLE 脆弱性では、この暗号通信が解読できてしまう可能性があるのが問題になりました。

詳しくは「SSL v3.0の脆弱性「POODLE」ってかわいい名前だけど何?? – Padding Oracle On Downgraded Legacy Encryptionの仕組み –」を参照ください。

 

1月 Linux glibcの脆弱性(通称 : Ghost)

脆弱性内容は、glibcの__nss_hostname_digits_dots() にヒープバッファオーバーフローの脆弱性で、悪用された場合リモートからシステムを乗っ取られる危険性があります。

この「バッファオーバーフロー」がなんなのか?を考えたいと思います。

WEBサイトを表示したり動かしたりするときには、データをPCのメモリ上に格納します。この格納するためのメモリ上に確保する領域をバッファと呼ばれます。

一方、プログラムを実行するCPUはプログラムに従って命令を実行するだけで、メモリ上に確保できるバッファの大きさ(上限値)を越えても止まることなく、情報を格納しようとします。
この上限値を超え溢れてしまう動きがバッファオーバーフローと呼ばれ、バッファオーバーフローが起こってしまうと、メモリ上の不正な場所に情報を格納することになってしまい、これにより、プログラムが誤動作することになってしまいます。

詳しくは「5分で絶対に分かるバッファオーバーフロー」を参照ください。

 

脆弱性放置するとどれくらい危険なのか?

代表的な3つの脆弱性は
・SSL通信の安全性が脅かされる
・サーバーのアカウント等の流失の可能性
があり、いずれも個人情報に関わる問題を引き起こします。

3つの脆弱性問題を放置すると、対策を行っているECサイトと比較して、どの程度危険性が高まるのでしょうか?
この質問を当社のCISO松野に聞いてみました。

2

まず、SSLによる安心安全の原理が崩れてしまうと、お客様の住所や氏名などの個人情報や、クレジットカード情報などの金銭に直結する重要な情報を危険にさらすことになります。実際に個人情報の漏えいが原因で、多額の賠償請求を求められた事例もあります。
サーバの堅牢性についても同様で、これが危ぶまれると、情報漏えいにとどまらず、データやサイトの改ざん、さらにはコンピュータウイルスの配布元として踏み台に利用されることも考えられます。ここまで来るとネットショップ単体の問題にはとどまりません。

さらに、インターネットにはこのように脆弱性を放置しているサイトのリストを公開しているサイトも存在します。ネットショップの利用者にとっても、自分の情報が危険にさらされることをわかっていて、買い物をしようと思う人は少ないんじゃないですかね。

なるほど、脆弱性問題を放置しいると事故の対応だけではなく、ブランド価値が毀損し、売上も下がる可能性があるということです。

冒頭でも説明した通り、脆弱性の問題には、「正しい情報をいち早く(攻撃者よりも)入手して、正しく対処(交換)する」ことが重要です。

当社グループのゲヒルンにて、新しいサービスもリリースされており、上記の課題を効率的に対応できるサービスになっています。

ぜひ、参考にされてください。

02

http://gs3.jp/

この記事を書いた人

EC業界の今