ITトレンド WAF(Web Application Firewall)部門 2年連続No.1 (4)

Cloudbric WAF、2年連続でITトレンド年間ランキング 1位に

この度、当社が提供する「Cloudbric WAF」が、法人向けIT製品の比較・資料請求サイトの「ITトレンド」のWAF(Web Application Firewall)部門において、「年間ランキング2020」で2年連続1位を獲得しました。2020年は新型コロナの影響で多くの企業がテレワークの導入など新たな働き方にシフトし、オンラインでの対応が増えたことから、Web対策として簡単導入・運用できるクラウド型WAFサービスへのニーズ高まりました。ITトレンドは現在1900製品以上が掲載されている法人向けIT製品の比較・請求請求サイトで、2020年1月1日~11月30日までの期間の資料請求数を集計した今回のランキングで、Cloudbric WAFが最も支持されたWAF製品として選ばれました。

Cloudbric WAFは、Webビジネスにおけるセキュリティの更なる強化及び安定的な運用が図れる 一石五鳥のWebセキュリティ対策です。5つの必須サービスを統合パッケージとして提供しております。

  1. WAFサービス:日本・韓国・米国にて特許済みの自社開発の論理演算検知基盤エンジンに自ら攻撃を学習するAIエンジンが加わり、最新かつ高度の未知の脅威まで検知・遮断します。
  2. DDoS対策サービス:L3/4/7に対し40Gbps規模の攻撃まで検知・対応します。
  3. SSL証明書サービス:SSL更新、管理を必要としない常時SSL化を実現できます。
  4. 脅威IP遮断サービス:56ヵ国700,000サイトから収集された脅威インテリジェンスをもとに、脅威IPとして定義されたIPを遮断します。
  5. 悪性ボット遮断サービス:スパイウェア、アドウェア、スパムボットなどの悪性ボットを遮断します。

当社は今後も、サービスの品質向上につとめ、お客様に選ばれ続けることを目指してサービスを提供させていただきます。

ITトレンド年間ランキング2020の詳細はこちら
https://it-trend.jp/award/2020/waf?r=award2020-tab

カード情報漏えい

個人情報がつまったECサイトが狙われている!ECサイトが受ける不正アクセス攻撃とリスクについて徹底解説 その2

前回、ECサイトが受ける不正アクセス攻撃による「個人情報漏えい」のリスクについてご紹介しました。2回目となる今回はもうひとつのリスク、「クレジットカードの不正利用」について解説していきたいと思います。ネット利用が普及し生活が便利になる一方で、日々、多くのECサイトでクレジットカード情報漏えい事故が起こっています。ECサイトの担当者へのアンケートによると、49.1%が「ECサイトに対してサイバー攻撃を受けたことがある」と回答しています。ECサイトの立ち上げを検討している担当者は、ECサイトの最も大きいセキュリティリスクである「クレジットカード情報の漏えい対策」を行う必要があります。

 

クレジットカード決済で不正利用が起こる原因

クレジットカードは、現代における生活の必需アイテムになっています。クレジットカードがあれば、手持ちの現金がなくても実店舗で買い物できますし、ネット通販でも手軽に決済できます。とても便利なものですが、クレジットカードは悪意ある第三者によって不正利用されてしまうリスクがあることも心得ておかなければなりません。そして近年、ECサイトが不正アクセスを受け、顧客情報の他に、クレジットカード情報が漏えいする事件が相次いでいます。

日本クレジット協会の発表によると、2018年のクレジットカード不正利用被害額は235.4億円、2019年は上半期だけで137億円となっています。金額も増加していますが、比率がそれ以上に増加していて、クレジットカードの持ち主が意図しない不正利用がECサイトなどで多発していると言えます。クレジットカード決済で不正利用が起こる原因とその手口は、以下のものがあげられます。

フィッシング

フィッシングとは、金融機関などの有名企業を詐称したメールを送り付け、本文のURLをクリックさせることで偽サイトに誘導し、不正にIDとパスワードなどを詐取する詐欺行為のことです。設定変更や機能追加を行うためとしてメール本文のURLをクリックさせ、本物とそっくりのフィッシングサイトに誘導し、ID、パスワード、口座番号などを入力させ、これらの情報を搾取することを目的としています。近頃よく見られる手法に、Office 365のようなクラウドアプリケーションのログイン認証情報を盗み出すためにも使われます。ハッカーは、自分のOffice 365アカウントにログインして、プラットフォームへのアクセスの再取得、共有ファイルの回復、アカウント情報の更新など実行するように促すメールをユーザーに送信します。

フィッシングの一種であるスピアフィッシングと呼ばれる攻撃手法もあります。フィッシングは不特定多数の人へ行われるのに対し、スピアフィッシングは特定の標的を狙って行われます。フィッシングは大量配信攻撃であり、比較的広範囲に罠を仕掛けます。スピアフィッシング攻撃は槍(spear)を突き刺すように標的を定めて攻撃を行うため、騙されやすく非常に危険な攻撃です。メールによるスピアフィッシング攻撃は、日本では「標的型攻撃メール」とも称されます。スピアフィッシング攻撃は、事前に情報収集を行った結果を元に標的に狙いを定めて攻撃を行うため、精度が高いという特徴を持ちます。

スキミング

「スキミング」というのは、クレジットカードの情報を不正に入手して、まったく同じ偽造カード(クローンカード)を作って不正利用する犯罪のことです。クレジットカードそのものを盗むのではなく、「スキマー」と呼ばれる装置を使って、クレジットカードの磁気ストライプに書き込まれている情報のみを読み取るため、自分が被害者であることに気がつきにくいという特徴があります。
このスキミングがさらに進化したのがオンラインスキミングです。オンラインスキミングとはECサイトなどに不正なコードを挿入し、利用者が入力した決済情報を盗む行為を指します。ユーザーがフォームに入力したクレジットカード情報を盗み取るため、カード番号や有効期限だけではなく、不正利用防止のために設定されているセキュリティコードまで盗まれてしまいます。さらに、本人認証用の3Dセキュアのパスワードまで盗まれることもあります。オンラインスキミングでは偽決済ページヘの誘導を行ったり、不正者への情報送信を行ったりします。こちらの手口ではECサイトのカード情報入力フォームに直接JavaScriptのコードが埋め込まれています。利用者がカード情報を入力し確認ボタンをクリックすると、不正者にも入力されたカード情報が送信され、個人情報が盗まれてしまいます。

なりすまし

「なりすまし」とは、流出した、もしくは盗み取ったカード情報を使って、第三者が本人になりすまして、クレジットカードを不正利用する手口です。上記のフィッシングやスキミング、そしてサイトからの情報漏えいで流出してしまったカードを本人になりすまして、不正利用します。一般社団法人日本クレジットカード協会によると、年によって増減がありながらも、全体的に増加傾向です。内訳としては番号盗用による被害が多くを占めています。

 

ECサイトからの情報流出

前回のようなパスワードアタックのような攻撃にあい、ECサイトから直接カード情報が流出する危険性もあります。

EXILEの公式ECサイトに不正アクセス カード情報4万4000件が流出か
2020年12月08日
音楽ユニット「EXILE」などが所属する芸能事務所LDH JAPANは12月8日、同社が運営するECサイト「EXILE TRIBE STATION ONLINE SHOP」が不正アクセスを受け、4万4663件のクレジットカード情報が流出した可能性があると発表した。このうち209件のカード情報については、11月27日時点で第三者に不正利用された可能性がある。
流出の可能性があるのは、8月18日~10月15日に同サイトでカード情報を登録するか、登録済みの情報を変更した利用者のカード名義人、カード番号、有効期限、セキュリティコード。
引用:https://www.itmedia.co.jp/news/articles/2012/08/news139.html

こうしたニュースが今も後を断ちません。セキュリティ対策に無頓着な場合、いつ自社が狙われてもおかしくはないのです。

 

クレジットカード情報が漏えいした場合のECサイトのリスク

1. ECサイトの閉鎖

カード情報が流出した場合、カード決済の停止やサイトを一時閉鎖するなどの措置がとられます。セキュリティ事故が起きると約半数のサイトが完全復旧できないほか、完全復旧するにはECサイトのリニューアルが必要で、ECサイトの信頼度低下や顧客離れなどを含めると、セキュリティ事故のダメージは計り知れないものとなります。

2.フォレンジック調査の費用

「フォレンジック調査」は漏えい発生に際し、原因特定や被害範囲特定を行うための調査です。カード会社との加盟店契約において、加盟店は漏えい事故が起きた際の調査が義務付けられています。特定の専門機関への調査依頼が必要となり、調査費用は数百万円から1000万円程度が見込まれます。

3.対象顧客への報告と損害賠償金の支払い

お客様へのお詫び対応のデスク設置やクレジットカードの差し替え費用、損害賠償金の支払い等が発生します。カード情報が流出した場合、ほとんどのケースは裁判になります。そしてその賠償金は、過去の判決例から分類すると、秘匿性に合わせて大きく3種類です。 まず、秘匿性が「低」と判断される場合です。住所や氏名など、特殊な情報でない場合がこれに該当します。この場合の相場は、一件あたり500円から1,000円くらいです。 次に、秘匿性が「中」の場合です。クレジットカード情報や、収入、職業に関する情報など、一般的には知られていないはずの情報がこれに該当します。この場合、一件あたり1万円くらいが相場となります。そして、秘匿性が「高」と判断されるケースでは、一件あたり3万円超となります。極めて個人的な情報、たとえばスリーサイズや手術歴、ユーザーIDとパスワードのセットなどがこれに該当します。因みに過去の判例で、1件当たり平均想定損害賠償額は3億3,705万円となっています。

4.社会的信頼の失墜

監督庁への報告がマスコミの報道や、ネットでの情報掲示でネガティブ情報として取り上げられる可能性があります。企業の社会的信頼が薄れ、株価が下落します。顧客に不安を与え、顧客離れが起きます。

5.行政の指導や罰則のおそれ

2018年6月1日に施行された「割賦販売法の一部を改正する法律(改正割賦販売法)」では、クレジットカードを取り扱うEC事業者などに対して、「クレジットカード情報の適切な管理」と「不正使用防止対策の実施」が義務付けられ、カード情報の漏えい対策として制定された同法律では、法的にもEC事業者への責任が強化されています。

 

さいごに

システムのセキュリティホールは、色々な角度から狙われています。攻撃者は対象のシステム全体から、SSHやFTP等のリモートアクセスの他、ウェブサイトへのSQLインジェクションの試行等、攻撃可能なセキュリティホールをあらゆる手段を駆使してスキャンしています。こうした攻撃に対する「クレジットカード情報の漏えい対策」には、WAFのような不正検知システムの導入が効果的です。いつ、どのような手段によって行われるか分からない攻撃に備えるためには、システム全体のセキュリティ対策が必要ということになります。

WAF は従来のファイアウォールや IDS/ADS では防御しきれなかった攻撃の検知・防御が可能となります。ファイアウォールは、主に不要なサービス(サービスポート)へのアクセスを制限し、不正なアクセスの防御を行っております。また IDS/ADS では不正なアクセスを検知するとアクセス元の通信を遮断します。しかし Web サイトなど、公開されているサービス(HTTP や HTTPS)はファイアウォールでは制限されない形となるため Web アプリケーションに脆弱性があると攻撃の脅威となります。WAF ではファイアウォールや IDS/ADS では検知できない攻撃を検出することができます。

クラウド型セキュリティ・プラットフォーム・サービス

Cloudbric WAF+

blog_Introduction

Cloudbric(クラウドブリック)の主要機能をご紹介いたします!

ご紹介ㅣCloudbric WAFの主要機能


企業のセキュリティ関連予算が毎年増加している中、どのようなセキュリティ対策を立てていますか?

過去には攻撃履歴のあるIPアドレスからのアクセスを遮断したり知られている攻撃パターンと比較して遮断したりする方法でWebサイトを保護しましたが、もうこの方法ではWebサイトを安全に保護出来なくなりました。

新種の攻撃を検知出来なかったり悪意の無いアクセスも遮断してしまったりする事が多くなっている為です。

このような問題を解決してWebサイトを保護してくれるCloudbric(クラウドブリック)WAFの主要機能についてご紹介致します。
安全なWeb環境を作る為にはどういったセキュリティ対策が必要であるかご確認ください。

紹介

– Web攻撃遮断サービス

「ロジックベース検知エンジン搭載」

クラウドブリックはより安全なWebセキュリティサービスを提供する為、既存WAF市場の検知技術とは異なる「ロジックベース検知エンジン」を搭載しています。ロジック分析を通じた検知技術で、攻撃真偽まで把握して誤検知率が低く、今までなかったWeb攻撃パターンを正確に検知して遮断出来ます。また、データの意味を論理的に分析するので誤検知も少ないです。

「OWASP主要脆弱性Top10に対応」

クラウドブリックのWAFは、OWASPが発表した主要脆弱性Top10に全て対応出来ます。
ロジックベース検知エンジンの26種の検知ルールを基盤に多様なWebサイトの脆弱性を補完してWeb攻撃を防御出来て有害なトラフィックを正確に区分して遮断しています。

 

– DDoS防御

「DDoS攻撃の定義」

DDoSはハッカーがウィルスに感染させて操る多数のゾンビPCが一斉にWebサーバに負荷をかける攻撃です。以前はトラフィックを発生させてネットワークをフリーズさせる攻撃が流行っていましたが、最近はアプリケーションの脆弱性を悪用してWebサーバを直接攻撃する場合が増加しています。

このような攻撃は、Webサーバの全ての情報が消えたり流出したりする致命的な結果を用いることがあります。

「多様なDDoS攻撃を防御」

クラウドブリックのWAFはWebアプリケーションの脆弱性を悪用した全ての非正常的なアクセスを迅速でスマートに検知/遮断します。最も多いDDoS攻撃から最新トレンドであるマルチバクタ攻撃(Slowloris, RUDYなど)まで、全範囲のDDoS攻撃からWebサイトを保護します。また、ネットワーク拡張を通じてネットワークフリーズを防ぎます。

ddos

– 無料SSL

「SSL証明書」

SSL(Secure Socket Layer)はWebサイトユーザとWebサーバ間の通信を暗号化する為にWebサーバに保存する証明書です。
SSLを使用せずにHTTP通信を行ったら、ユーザとWebサーバ間の通信が第三者に露出する可能性があります。
ユーザの大事な情報を保護する為には、SSLでWebサイトの全ての通信を暗号化しなければいけません。

「無料SSL提供」

クラウドブリックはIDソリューション分野においてグローバルリーダであるIden Trustから認証されたLet’s Encrypt証明書を無料提供しています。

また、Webサイトの有効性を証明して発行した証明書をWebサーバに保存する手間を無くす為、ユーザがサービス登録さえ完了すれば追加作業が必要ない自動SSLを使用出来るようにして利便性を高めました。


現在行っているセキュリティ対策に足りない部分はありませんか?
クラウドブリックのサービスを利用すれば、簡単・迅速に強力なWebセキュリティを導入して顧客からより信頼される企業になります。
もっと詳しい情報を知りたい方はクラウドブリックのホームページを参照もしくはお問合せメニューを利用してご連絡をお願い致します。