UTMセキュリティーブログ

ネットショッピングの罠(SQLインジェクション)

ネットショッピングの罠 画像

インターネットの世界は、これまでいくつもの常識を覆してきました。
地図の確認も、行きたいレジャースポットを調べるのも、GoogleやYahooで検索したら全て出てくる時代になりました。
そして、商品も購入することができるようになり、お金のやり取りも一瞬で大きな金額を動かすことができて
とても便利になっています。
今回は、そのインターネットで商品を購入する際に思わぬところで被害に遭った例をご紹介します。

ネットショッピングでの被害例

難波(仮名)さんは社内プロジェクトとして、WEBで自社製品の販売立ち上げのプロジェクト責任者に任命されて
自社で扱っている機械部品の販売をどうやって立ち上げるかを考えていました。
そこで一つ一つの部品を単体で購入する事ができるサイトにして、ショッピング感覚でお客さんに見てもらい
そのまま購入してもらうか、運営している店舗に誘導して購入してもらうようにしようと考えました。

サイト作成を依頼し、ようやく開設する運びになりお客様にログインしてもらう、いわゆるECサイトにしました。
いざ開設したところ、思いのほかお客様のアクセス数が伸びてユーザー様の声も好評を博し
順調にアクセス数が伸びていきました。

ところが、そんな矢先に突然いつも利用してくださっているユーザー様から連絡が入ります。

『いつも支払いをクレジットにしているんだが、全く身に覚えの無い請求が来ている。調べてほしい。』
とのことでした。

難波さんは自分のサイトで購入された商品ではないと、その常連のユーザー様に説明しましたが、
クレジットはお宅のサイトでしか使っていないからちゃんと調べてもらわないと困る、とのことでした。

すると、運営しているサイトのなかで一点だけおかしな動きをしている箇所が判明しました。
それはログイン画面で悪質な攻撃がなされていて、サイト閲覧に来たユーザー様のログイン情報をパスワードなしで
閲覧ができてしまい、クレジットカード情報も丸見えの状態になっていました。

これは『SQLインジェクション』という攻撃手法で、悪意のある方が情報抜き取りをするため
とくにECサイトを運営されている企業様でしたら、対策を講じることをお勧めします。

ページトップへ
営業時間 平日 9時~19時03-6738-283803-6738-2838