通販サイトへの侵入として、新たな手法が使われている。「クロスサイト・スクリプティング(XSS)」のぜい弱性を利用したもので、この手口で個人情報を盗み取られた通販サイトの被害が秋頃から明るみになりはじめた。通販サイトは被害を防ぐために、ウェブ・アプリケーション・ファイヤーウォール(WAF)導入など、セキュリティー対策を施す必要がある。

　XSSとは、ウェブアプリケーションのぜい弱性や、それを活用した攻撃手法のことを指す。利用者が何かを入力する「フォーム」に悪意あるスクリプト等を埋め込むという手法だ。XSSはサーバーに侵入するような手口ではなく、利用者のウェブブラウザー上で、悪意あるジャバスクリプトを動かし、表示されている情報を窃取する。最近発生している事件は、通販サイトの管理者をターゲットとしている。

　JPCERTコーディネーションセンター(JPCERT/CC)が7月6日に公開したブログ記事によれば、まず攻撃者は対象となる通販サイトの入力フォームに、不正なスクリプトを含んだ文字列を入力した上で商品を購入。入力フォームにXSSのぜい弱性がある場合、管理画面を閲覧した管理者のブラウザー上で不正なスクリプトが実行され、管理者のID・パスワードが盗まれたり、通販サイトへの簡素ウェブシェル(バックドアの一種)の設置などが行われたりする。その後、攻撃者は通販サイトにウェブシェルや、カード情報などを盗むためのジャバスクリプトを設置。その情報をファイルとして保存し、攻撃者はウェブシェル経由で定期的にファイルをダウンロードしていたと推測されるという。

　5月にオープンソースの通販サイト構築システム「EC―CUBE」の「3系」と「4系」にXSSのぜい弱性があることが発覚。すでにぜい弱性はバージョンアップによって解消されているものの、発覚していないぜい弱性を利用した「ゼロデイ」攻撃を受けた通販サイトがあるほか、ぜい弱性がそのままになっている通販サイトも存在するため、被害が多発している。

　11月15日に被害を公表した、トコちゃんドットコムでは、「7月6日に管理対象外のファイルが発見され、クロスサイト・スクリプティングの記述のある不審な注文の存在が確認された」ことから不正アクセスが発覚。今年6月17日～7月2日にカード決済をした顧客の個人情報507件が流出した恐れがある。また、9月17日に発覚したグラントマトでは、「通販サイト構築サービス『オムニEC』のクロスサイト・スクリプティングのぜい弱性を突いたことによる第三者の不正アクセスにより、不正ファイルの設置及びペイメントアプリケーションの改ざんが行われた」のが個人情報漏えいの原因という。今年4月7日～8月19日にカード情報を入力したユーザー349名の情報が流出した可能性がある。

　グラントマトでは、ジーアールの通販サイト構築サービス「オムニECシステム」を利用しているが、9月に不正アクセスを受けたことを公表した天満屋やサミット、11月に発表したベイシアや芝寿しなど、同サービスを利用する通販サイトからの情報流出が相次いでいる。なお、本紙ではジーアールに多発する不正アクセスに関して問い合わせたが、「担当者が不在」として締め切りまでに返答はなかった。

                                                                            ◇

　ウェブアプリケーションのセキュリティーに詳しいEGセキュアソリューションズ・徳丸浩取締役CTOの話

　現状ではEC―CUBEで作ったサイトや、EC―CUBEをベースとした構築システムで作ったサイトがやられているようだが、原理的にはそれ以外の通販サイト構築システムでも起こりうる。また、今回のケースではゼロデイ攻撃も行われたが、WAFを使っていれば被害は出なかったはずだ。

　私はこれまで「EC―CUBEの管理画面にアクセスできるユーザーを限定するために、IPアドレス制限をしよう」と説いてきたが、今回の手口は管理者のブラウザーから攻撃するというものなので、それだけでは防げない。WAFの導入は基本的な防御策であり、コスト的にも中小企業でも導入しやすい。また、カスタマイズの問題などで難しいかもしれないが、ウェブアプリケーションは最新版に更新する必要がある。もちろん、IPアドレス制限もやるべきだ。通販サイトを運営するのであれば、こうした標準的な対策は一通り施すべきだろう。