ECサイトこそXSS攻撃対策が重要！想定される被害と注意すべきポイント｜中堅・中小企業向けサイバーセキュリティ対策サイト Worry-Free ファミリー

サイバー攻撃対策

ECサイトこそXSS攻撃対策が重要！
想定される被害と注意すべきポイント

ECサイトのセキュリティ対策は万全ですか？中堅・中小企業が直面する情報漏洩リスクとその対策方法を解説。クロスサイトスクリプティング（XSS）攻撃の事例や防止策を詳しく紹介します。

目次
法人のお客さまで起こりがちな状況 ▽
ECサイトでも気を付けなければならないXSS ▽
ECサイトで想定される被害とは ▽
ECサイトで発生したXSSの被害事例 ▽
ECサイトでのXSS被害を防ぐための方法とは ▽
ECサイトこそ細心の注意を払う必要あり ▽
まとめ ▽

法人のお客さまで起こりがちな状況

ECサイトは、氏名、住所、電話番号といったユーザの個人情報が保持されているため、情報リスクが非常に高いサイトです。漏洩時のリスクヘッジとしてサイバー保険もありますが、中堅・中小企業ではなかなかコスト面で導入が難しいところが実態のようです。

とは言え、そんな中であっても、セキュリティレベルを上げて可能な限りサイトを守らなければならないのも、情シス担当者の役割になっています。

さまざまな種類のリスクがありますが、クロスサイトスクリプティング（XSS）について、ECサイトに的を絞り、掘り下げていきたいと思います。

ECサイトでも気を付けなければならないXSS

クロスサイトスクリプティング攻撃は現在でも有効な攻撃方法であり、気が付かないと大きな被害をもたらします。中でもECサイトは中堅・中小企業でも販路を作りやすい関係で、取り組みやすいというメリットと同時に、個人情報やクレジットカード情報など漏洩時のリスクが大きいというデメリットも含んでおり、かなり注意が必要なサイトと言えます。

2021年5月にはEC系CMSにおいてクロスサイトスクリプティング攻撃による情報の流出が発生しました。

よく聞くクロスサイトスクリプティング攻撃の事例としては、大手SNSでの事例などが多かったため、ECサイトではあまり意識してこなかった人もいるかもしれません。しかし、インターネットに公開されているサイトという意味では、基本的なリスクの度合いは変わりません。

むしろECサイトは注文受付のために氏名、住所、メール、電話番号、備考など入力フォームを多数利用しており、脆弱（ぜいじゃく）性が発生しやすい環境とも言えます。

「うちのような中堅・中小企業のショップなんて」と考えるのではなく、「うちのような中堅・中小企業のショップ『だからこそ』」と考え、事前にリスクの評価と対応を行っておくべきなのです。

ECサイトで想定される被害とは

ECサイトは不特定多数のアクセスがあり、さまざまな情報が保持されています。
こうしたサイトが攻撃された場合、主な被害として以下が想定されます。

＜個人情報の流出＞
・ユーザに対する攻撃
セッションハイジャックによるcookie情報の窃取
※ID/パスワード情報や、住所情報などが含まれる可能性がある。サイトの作り方によってはクレジットカード番号が漏洩することも。

・事業者側に対する攻撃
注文情報や問い合わせメッセージの管理画面での情報閲覧に対する攻撃
※不正アクセスやマルウェア感染の可能性が高まる。

＜フィッシングサイト等への誘導＞
・サイト自体を改ざんし、マルウェア感染を目的としたフィッシングサイトへのリダイレクトなど
ユーザ被害につながる

＜bot化＞
・CMS内にプログラムを設置し、spam送信などのbotに使用する

ECサイトの特性上ユーザが多いため被害が発生すると影響範囲が多く、被害者への補償、売上の減少、信頼感の喪失、リカバリー費用の発生、調査および報告の人件費、営業活動の難易度上昇など多大なコストが発生します。

中堅・中小企業は資金面での余裕がないことも多く、場合によっては事業存続が危ぶまれるレベルの危険性が含まれていることを、関係者全員が理解していないといけません。

ECサイトで発生したXSSの被害事例

2021年5月、あるECサイトのCMSで管理画面側にXSS脆弱性があり、それを悪用されるインシデントが発生しました。特定の不審なデータを管理画面上で参照すると攻撃（任意のコードが実行される）が成立し、ECサイトへの不正アクセスや個人情報の窃取などが行われる可能性があるものとなります。

IPA（情報処理推進機構）による本脆弱性の深刻度は4段階での上から2つ目となる「重要」に位置づけ、早急にアップデートを実行するよう発表しました。この脆弱性では実際にクレジットカード情報が外部に流出した事例も発生しています。

開発元は緊急対応のパッチを公開しすでに対応済みですが、これだけXSSが認知されている現在であってもちょっとした脆弱性によってこうした被害が発生しているのが現状です。

ECサイトでのXSS被害を防ぐための方法とは

事業者側としてXSSによる被害を防ぐ方法としては、大きくは以下のような方法があります。

・OS、ブラウザ、CMSなどのアップデート
検知された脆弱性はベンダー側でも常に把握し対策を行っています。
セキュリティに関連するアップデートは随時行い、セキュリティレベルを向上する必要があります。
関連するニュースを随時確認し新たな脆弱性が発生していないか、自社のECサイトにも関連しそうな脆弱性が見つかっていないかなど情報収集を行うことも重要です。

・サニタイジング処理
基本的なことではありますが、ユーザ側の入力に対してスクリプトに関連する文字列（「<」「>」「&」「'」「"」など）をエスケープ処理しましょう。
クロスサイトスクリプティング攻撃はJavaScriptが使われるため、プログラム上使用される文字列をエスケープすることでスクリプトを無効化しXSS攻撃を防ぐことができます。

・バリデーションチェック
入力欄に応じて入力値を適切なもののみに制限（電話番号であれば数字のみなど）しましょう。
クロスサイトスクリプティング攻撃は管理者側が想定していない入力によって実行されます。
想定外の入力がなくなることでクロスサイトスクリプティング攻撃が行われる余地を減らすことができます。

・WAFなどの実装
CMSの脆弱性など外部要因がある場合のセーフティネットとしてWebアプリケーション保護機能を持つセキュリティソフトを導入しましょう。
XSS脆弱性への攻撃をブロックし、社内で脆弱性が突かれた場合でも外部に情報が漏洩することを防ぐことが可能になります。
参考：https://www.trendmicro.com/ja_jp/security-intelligence/research-reports/threat-solution/xss.html

また、被害事例のように使用しているCMSに脆弱性がありクロスサイトスクリプティング攻撃を受けてしまう可能性も考慮すると、情シス担当としてネットワーク内部から外部不正サイトへのアクセスをブロックするなどの対応を行うことなども検討した方が安心です。

同時に、ユーザ側に対してもOSやブラウザ、セキュリティソフトのアップデートを促したりすることで、万が一の可能性を下げることも有用と考えられます。

ECサイトこそ細心の注意を払う必要あり

ECサイトは保持されているデータが個人情報と直結しており、高いセキュリティレベルが求められています。しかし、実情としては高いセキュリティレベルを維持できている企業は少ないのではないでしょうか。

中堅・中小企業であろうと大企業であろうと、ECサイトを利用するユーザとしてはそのサイトを信用して個人情報を預けてくれているものです。一度でもこうしたインシデントが発生すると、実際には直接的な原因が自社にあるわけではなくても企業の責任であると判断されかねないので「対応はやっている」と現状に満足せず、ゼロトラストの考え方で常に何かあった時の対応について検討し、セキュリティレベルを上げていく意識が必要です。

情シス担当者としては取り扱っている情報の価値をしっかりと理解し、ソリューションの導入も含めてもう一段高いレベルでのセキュリティを維持することで会社を守る意識が重要であると思います。

まとめ

ECサイトのセキュリティ対策は、特に中堅・中小企業にとって重要な課題です。クロスサイトスクリプティング（XSS）攻撃のリスクを軽減するためには、定期的なソフトウェアのアップデート、サニタイジング処理、バリデーションチェック、WAFの導入、そしてユーザ教育が不可欠です。これらの対策を講じることで、情報漏洩のリスクを最小限に抑え、顧客の信頼を維持することができます。情シス担当者としては、常に最新のセキュリティ情報を収集し、適切な対策を講じることが求められます。

中堅・中小企業向けキーワード別セキュリティ対策トップに戻る