MISSION 1-3　Webサービスからの個人情報の窃取

POINT 1　狙いは個人情報やクレジットカード情報

自社のホームページで、アクセスした顧客の情報を取得するために、個人情報の登録を求める場合があります。また、他社の提供するネットショッピングなどを利用する場合、クレジットカード情報を登録する場合があります。そうしたWebサーバーに登録された個人情報が狙われているのです。

POINT 2　攻撃手口はソフトウェアの脆ぜい弱じゃく性※1を狙う

Webサービスに対する攻撃は次の3つです。

・Webサービスでよく使われるソフトウェア※2の脆弱性を狙う

・ブログや電子掲示板などインターネット上で使用されるソフトウェア（Webアプリケーション）の弱点を狙う

・リモート管理用のサービスからの侵入を狙う

※1 セキュリティ上の欠陥（セキュリティホール）

※2 OpenSSL、Apache Struts、WordPressなど

POINT 3　改正割賦販売法への対応で対策が急務に

クレジットカード情報を狙った攻撃増加に伴い、クレジットカードを取り扱う加盟店におけるカード番号等の漏えいや不正使用被害の増加が社会課題となっています。こうした背景から2020年に割賦販売法が改正され、クレジットカード取引におけるセキュリティ対策の強化が事業者側に求められています。対策を怠ると、場合によっては業務改善命令や加盟店登録の取り消しなどの可能性があります。

対策を急ぐべきだ！ ●サービスを提供する場合 ・WebサーバーのOSやソフトウェア、Webアプリケーションを最新の状態にする ・Webサイトに対する攻撃を検知・防御するセキュリティソフトの導入と定期的なソフトウェアアップデート ・適切なログの取得と継続的な監視 ●サービスを利用する場合 ・同じIDやパスワードを使い回ししない ・他社のホームページなどに安易に情報を登録しない ・利用をやめたWebサービスは退会する