インターネット安全活用 一灯塾

最新のIT技術を正確に把握することは困難ですが、地道にコツコツ、IT技術に関する情報を発信します

ネットサービスは本当に安全なのか? ECサイトの2割が不正アクセスな状態に

「見えない所にはお金をかけない」、つまり「セキュリティ(安全)は見えないから、そこにはお金をかけない」という話は、コンピュータ関係では良く聞く話です。

 

今年(2018年1月)発覚した、仮想通貨取引所大手「コインチェック」から580億円相当の仮想通貨「NEMネム)」が不正流出した問題、海外からの不正アクセスが原因で、システムのセキュリティの甘さにありました。

 

問題①は、仮想通貨の秘密鍵(暗証番号)を、ネットと切り離して管理する「コールド・ウォレット」を用いていなかった点。問題②は、仮想通貨取引の基本的なセキュリティ技術「マルチシグネチャー」という、金庫に複数のカギをかけるハッキングなどを防ぐ技術が導入されていなかった点。

 

また、今年(2018年1月)には、GMOペパボ株式会社が運営するネットショップ運営サービス「カラーミーショップ」において、不正アクセスが原因で、流出したクレジットカード情報が22件、流出した可能性のあるクレジットカード情報は最大9,430件でした。不正アクセスの原因は、独自アプリケーション機能の脆弱性(ソフトの不具合)でした。

 

 「カラーミーショップ」における情報流出に関するご報告とお詫び|GMOペパボ株式会社

  https://pepabo.com/news/information/201801260800

 

安全性を無視した、セキュリティの甘い、システムの構築・運用、「コインチェック」、「カラーミーショップ」だけの問題でしょうか? はっきり言って、これは氷山の一角です。

 

ネットサービスが利用者をダマして、セキュリティの甘いシステムを構築したり、安全性を無視したシステム運営をすることも、今後増えると思いますが、第三者によるネットサービスの安全性チェック機能は、今の所、日本にはありません。もし、あったとしても機能しているようには見えません。

 

ネットサービス、便利だからといって、安易に使うのは危険ですね。特に、現金やクレジットカードを扱うサービスには要注意です。

 

実は、2016年のセキュリティソフトの大手のトレンドマイクロの調査で、「ECサイト」の約2割が、ソフトの修正プログラムの適用を「していない」と回答。それにもかかわらず、「ECサイト」の5割がサイバー攻撃を受けていたという結果が出ています。

 

サイバー攻撃がますます拡がる中、約2割のサイトがソフトウェアを最新版にせず、危険な状態にあるということは、まさに不正アクセスを待っているようなものです。

 

パソコンでもWindows更新プログラムなどでソフトウェアの修正プログラムを適用し、最新版にしていないと、ホームページを見ただけでウイルスに感染したり、メールの添付ファイルでウイルスに感染します。

 

これからは、ネットサービスを選別し、使わないサービスは解約するなどの、ネットサービスの「断捨離」が必要です。

 

 

■■□―――――――――――――――――――□■■


ネットサービスの「断捨離」の考え方


■■□―――――――――――――――――――□■■

 

①『断』新しいネットサービスに飛びつかない、利用しているサービスを使いこなす


②『捨』利用しているネットサービスが、今の自分に必要でなければ解約する


③『離』ネットサービスに執着しない、ネットを離れたサービスも活用する


特に大事なのは、『捨』ですね。

 

私の場合、今までは、登録したネットサービスを使わないまま、ずるずると半年~1年以上も、登録したままにしていました。

 

そこで、ひとまず、使っているネットサービスを洗い出し(意外と、これが大変)、使っていないサービスは解約をしました。

 

今後は、定期的(半年毎)に使っているかどうかを見て、使っていなければ解約することにしました。

 

なお、使っているサービスでも、情報流出などの事件が発生した場合には、問題が解決されても、ひとまずは解約することにしました。もし、どうしても使いたくなったら、安全性を確認し(どこまで確認できるか難しいですが)、再度、会員登録をして利用すれば良いですね。

 

 

■■□―――――――――――――――――――――――――――――□■■


企業におけるECサイトのセキュリティ実態調査 2016 | トレンドマイクロ


■■□―――――――――――――――――――――――――――――□■■

 

2016年のセキュリティソフトの大手のトレンドマイクロの調査によると、商品やサービスをネット上で販売する「ECサイト」の約2割が、OSまたはミドルウェアの修正プログラムの適用を「していない」と回答。それにもかかわらず、「ECサイト」の5割がサイバー攻撃を受けていたという結果が出ています。

 

詳しくは以下を参照下さい。

 

 企業におけるECサイトのセキュリティ実態調査 2016 | トレンドマイクロ

 https://www.trendmicro.com/ja_jp/about/press-release/2017/pr-20170131-01.html

 

このトレンドマイクロのサイトの情報をもとに、簡単にまとめると以下になります。

 

《調査の概要》

 

調査名:企業におけるECサイトのセキュリティ実態調査 2016

実施時期:2016年12月27日~2016年12月28日

回答者:企業・組織におけるECサイトの構築・運用・セキュリティの実務担当者619名

手法:インターネット調査

 

《調査結果》


1.49.1%がECサイトに対してサイバー攻撃を「受けたことがある」と回答。


2.74.7%がサイバー攻撃の結果、「実害に繋がった」と回答。実害で一番多かったのは、「顧客のログイン情報(IDとPW)の漏えい」(42.7%)


3.約2割がOSまたはミドルウェアの修正プログラムの適用を「していない」と回答

 

ECサイトのOSおよびミドルウェアへの修正プログラムの適用状況を調査したところ、OSについては17.3%が、ミドルウェアに関しては19.7%が「適用していない」と回答。

 

 

■■□―――――――――――――――――――□■■


サイバー攻撃の一つ 「Apache Struts 2」の脆弱性突く攻撃


■■□―――――――――――――――――――□■■

 

ECサイトなどのWebサイトは、様々なソフトで構成されていますが、その中のソフトの一つ「Apache Struts 2」で昨年2017年3月に、脆弱性(ソフトウェアの不具合)が見つかっています。

 

Apache Struts 2」は、Webアプリケーションを開発するためのソフトウェアのひとつ。開発元が2017年3月6日に、任意のコードが実行可能な危険度の高い問題があることを公表。その後、続々とApache Struts2脆弱性への原因の不正アクセスで、情報が流出しています。

 

①2017年3月14日、日本郵便不正アクセス、国際郵便マイページ登録者情報2万9千件流出した可能性

 

日本郵便からApache Struts2脆弱性が原因で、3万件近くのメールアドレスが流出した可能性が高いとの発表がなされました。

 

②2017年3月10日、日本貿易振興機構(JETRO)へ不正アクセス、2万6千件のメールアドレス流出した可能性

 

Webページの「相談利用者様登録ページ」が不正アクセスを受けて、2万6,708件のメールアドレスが流出した可能性があると発表しました。

 

③2017年4月25日、Bリーグサイトへ不正アクセス、からの個人情報約15万件(クレジットカード情報が約3万2千件)が流出した可能性

 

ぴあ株式会社は運営を受託しているバスケットボールのBリーグのチケットサイトに攻撃があり、個人情報約15万件(クレジットカード情報が約3万2千件)が流出した可能性が高いと発表しました。