Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

SQLインジェクションはまだまだある

通販サイト「ココサブ」がSQLインジェクション攻撃を受け、顧客情報約2.8万件が流出したおそれがあると報じられていました。

www.security-next.com

f:id:foxcafelate:20181118094622j:plain

不正アクセスによるお客様メールアドレス流出の可能性に関するお詫びとお知らせ

 

同サイトを運営する麻田によれば、4月23日から6月11日12時半にかけて、同サイトが不正アクセスを受けていたという。

不正アクセスにより、2013年1月15日23時から2018年6月11日12時半までの間に、同サイトで商品を購入したり、無料サンプルを請求した顧客のメールアドレスのべ2万7916件が流出した可能性がある。

同サイトの管理を委託している事業者が、6月11日にSQLインジェクションを検知。攻撃元からのアクセスを遮断、脆弱性を修正したた上で、外部に調査を依頼していた。

(Security Next記事より引用)

 

◆キタきつねの所感

2018年4月23日~2018年6月11日の1.5ヶ月間に不正なアクセスを受けていて気づけなかったようです。

メールアドレスのみしか漏洩した恐れがないという事は不幸中の幸いだったかと思いますが、SQLインジェクションはまだまだ無くならない、正確には気にせずサイト構築をしてしまうEC事業者が多い事は残念に思います。再発防止策を見ると、不正アクセス検知・防止のセキュリティ対策の導入委託先管理強化となっています。

IDS/IPS機器(サービス)を入れるのかなと思いますが、委託先管理強化の中に、Webサイトの脆弱性チェックあるいは、せめてOWASP TOP10に対する脆弱性がないかのチェックが入ってないとIDS/IPSで防ぎきれないケースが出てくるかも知れません。

また、漏洩した情報を見ると、2013年~2018年の購入者、無料サンプル請求者のメールアドレスとなっています。過去すべての顧客データ(メールアドレス)を保持しておく必要性がどの程度あったのか分かりませんが、古いデータなどは必要なければ削除するか、バックアップデータとしてオフラインにおいておく事も、リスク軽減という意味では重要かも知れません。

 

■OWASP TOP10

www.ipa.go.jp

 

注意のマーク

 

更新履歴

  • 2018年11月18日AM(予約投稿)