2019年4月23日
ここ最近、ECサイトにおいて、決済画面を改ざんされてクレジットカード情報が抜き取られる手法(フォームジャッキング)による被害が日本国内で増加傾向にあります。
オープンソース系、ECサイトでは特にバージョンが古いままご利用の店舗で被害が複数報告
以下のセキュリティ対策が十分に行われていない場合において改ざんされ、攻撃を受ける可能性が高くなっています。
❶・ECサイトの管理画面のセキュリティ対策
❷・利用しているサーバーのセキュリティ対策
❸・同じ環境に設置されている他のCMSのセキュリティ対策
❶・既に「改ざん」が行われていないか
下記のような「改ざん」の疑いが見つかった場合は、直ちにサイトを停止し、詳しい方にご相談ください。
・購入確認画面等に覚えのないJavaScriptが設置されていないか
・購入フローのクレジットカード入力画面が不正なURLになっていないか
❷・管理画面のURLが推測されやすいURLになっていないか
❸・管理画面へアクセス制限が行われているか
管理画面のログイン画面に外部から容易にアクセスできる状態ですと、パスワードの総当たり攻撃等で、管理画面にログインされる可能性が高くなります。
以下も完全な対策にはなりませんが、最低限行える対策です。
・IP制限をかける(外部からは全くアクセスできない状態にする)
・Basic認証をかける(管理画面にパスワードをかける)
❹・サーバーや利用しているCMS等のセキュリティが担保されているか
利用中のサーバーのOSやミドルウェアの脆弱性が対応されているか確認ください。
WordPressやDrupalなどのCMSやその他のファイル操作やデータベースへの接続を行うアプリケーションをインストールしている場合は、各アプリケーションやプラグインの脆弱性が対応されていることもあわせてご確認ください。特にEC-CUBEとのジョイントサイトなども注意
❶・簡易セキュリティ診断パートナーのご紹介
❷・EC-CUBEの場合は最新版へ移行対応も受け付けております
Webサイトリニューアルから新規ホームページ制作・運営・保守まで、目的達成を実現いたします。
各種Webサイト・ECサイト制作、広告代行に関するご相談、ご質問などお気軽にお問合せ下さい。
Tel : 03-5324-2318 / Email : info@reinc.jp