クレジットカード情報はカード会社サイトで入力がいいのでは。小規模サイトも攻撃対象時代のセキュリティ

先日、軒先.comがクレジットカード情報の流失があり、それなりの数の情報が流出したニュースがありました。

何よりこの事件が他人事ではないのが、流出原因がデータベースへの不正アクセスではなく、クレジットカードフォームを改ざんされ、そこから別のところに情報を送られていた点です。

小規模サイトも他人事ではない

情報を辿っていく中で見つけた、セキュリティーで有名な徳丸浩さんのブログ「徳丸浩の日記」に同じような事例が出ていました。

中には従業員10人程度の小さな会社のサイトも攻撃された例もあるようで、こうなると規模の問題ではなく、脆弱性のあるサイトをプログラムが探して改ざんしていくのではないかと。

規模が大きくクレジットカード利用者が多そうなサイトの脆弱性を見つけ出すのではなく、ある脆弱性をもったサイトを、巡回して攻撃を試みるプログラムがあるということなのかと思います。
それか脆弱性のあるサイトをプログラムが見つけて最後の部分は人間が攻撃するのかもしれませんが。

どっちにしろweb Shopを開いた人はみんなターゲットとなりうるということかと。

ひとまず対策はPaypalと銀行振込の扱いのみに

ですので、どんな大手の決済代行を使ってもサイト内にクレジットカード情報の入力フォームを置く以上、脆弱性があり改ざんされたらおしまいです。

不審なアクセスを監視したり、ファイルの変更を監視できるツールもありますが、それなりに高価でした。
代わりに人力で不審なアクセスを探すのも現実的でないかと。

脆弱性については基本自分はフレームワークを使った制作なのできちんとアップデートぐらいしか方法がないです。

なので、ひとまず対策はPaypalと銀行振込の扱いのみにしました。
クレジットカードが直接使えないのは離脱の可能性がありますが、カード情報漏洩の可能性よりいいかなと。

もう一回勉強

周りのクリエイターに比べ、セキュリティーやバックアップは比較的考えてる方かな？っと思ってましたが、販売サイト運営を始めたら、周りも比較的もサイト規模もまったく関係なく、巨大サイトと同じターゲットになりうる時代なんだなと。

なので少なくともサイトをカスタマイズする時に脆弱性を生み出さない勉強はし直したほうがいいかと、以前購入した前述の徳丸さんの本を引っ張り出しました。

買った時は、かなり難解で睡魔と戦いながらなんとか読み終えたはいいけどあんまり頭に入ってませんでしたが、今はそんなことも入ってられないかと。

幸いなことに以前よりもスキルが上がっているようで、内容が少し理解できるようでよかったです。

最後に

余談ですが、この話を知ってから、販売サイトの受注制作はやりたくないなと思ってしまいました。
今年の始め、不正アクセスの対策漏れが開発会社の責任とされる判決が出たことがあったようで、なんとも世知辛い感じです。

追記：2016/09/19 タイトル変えました。以前は「小規模サイトも攻撃対象の時代。フリーランスのセキュリティ」