SEO Knowledgebase

最近になって、インターネットを悪用したIdentity Theft（なりすまし）被害が多数報告されるようになった。特にspoofing（なりすまし：システムのアクセス制御機構を悪用し、第三者がシステムの正規な利用者に「なりすます」行為―SECOM よくわかる情報セキュリティ用語辞典より―）や phishing（フィッシング：金融機関などからの正規のメールやWebサイトを装い、暗証番号やクレジットカード番号などを搾取する詐欺―e-Wordsより―）など、手口が巧妙になっているのが特徴で、被害者の数も急増している。
ユーザーをなりすまし犯罪から守るにはどうしたらよいかが、ショッピングサイト運営者の今後の課題となる。

ソフトの脆弱性を知る

ある種のショッピングカートやオンライン支払いシステムにおいて、セキュリティのもろさ（脆弱性）が原因で、高度なテクを持つハッカーの格好のターゲットになるケースが多々ある。そこで、知っておくと役に立つ「落とし穴」を以下に紹介する。

・SQLインジェクション

・バッファオーバーフロー脆弱性

・クロスサイトスクリプティング脆弱性

・リモートコマンドエクセキューション

尚、上記の詳細については、それぞれ以下を参照のこと。

SQLインジェクション：http://e-words.jp/w/SQLE382A4E383B3E382B8E382A7E382AFE382B7E383A7E383B3.html

バッファオーバーフロー脆弱性：http://www.atmarkit.co.jp/aig/02security/overflow.html

クロスサイトスクリプティング脆弱性：http://www.atmarkit.co.jp/aig/02security/crosssitescripting.html

リモートコマンドエクセキューション：外部からコマンドを実行すること。Web サーバへのアクセス権のある攻撃者が、脆弱点を悪用して自身で定義したデータを任意のファイルに書き込み、リモートからコマンドを実行すること。（Internet Security Sysytems より）

ユーザーへの安全対策

フィッシング（phishing）やなりすまし（spoofing）の手口として、巧妙な文面でパスワード検証やアカウント更新を促し、ダミーページにリンクさせ、金融情報を入力させるものや、本物のサイト上に（偽の）ポップアップウィンドウを表示させ、ユーザー名やパスワードを入力させるものなどがある。どちらの場合もユーザーの不注意で被害にあってしまうケースが多い。

このような被害にあわないようにするために、ショッピングサイト運営者がそれぞれの顧客（ユーザー）に対してしなければならないことは、

・ユーザーに対して注意を呼びかける

・偽のウェブページと本物の見分けがつくように工夫する

・ユーザーが受取ったメールや通知等が信頼できるものかどうか（本物かどうか）を証明する方法を提供する

などが挙げられる。

現在、新たな詐欺のテクニックは毎週のように出現している。ユーザーが安心してショッピングを楽しめるよう、サイト運営者は安全な環境を整えていく必要がある。

この記事の原文については、Protect Your Ecommerce Customers From Identity Theftを参照のこと。

Popularity: 1% [?]

トラックバックURI http://seo.ds-style.com/identity-theft/trackback/