ECサイト構築プラットフォーム「futureshop」がセキュリティ強化を予定を前倒して実装、秋には多要素認証も計画 | ScanNetSecurity
2024.05.25(土)

ECサイト構築プラットフォーム「futureshop」がセキュリティ強化を予定を前倒して実装、秋には多要素認証も計画

本事例のようなサービス提供側に直接の責任がない不正アクセス事案をきっかけに、事故発生前に前倒しにさまざまなセキュリティ対策を実施する事例は、攻めのセキュリティ投資でありDX推進の事例とも捉えることができるだろう。

製品・サービス・業界動向 新製品・新サービス
SaaS型ECサイト構築プラットフォーム「futureshop」を運営する株式会社フューチャーショップは4月21日、本年8月24日に予定していたセキュリティ強化のための仕様変更を4月26日に前倒しして実施すると発表した。さらに同社では11月を目処に、これまでのIDとパスワードのみの認証から、管理者ログインの多要素認証実装を行うという。

これらの前倒し対応及び多要素認証実装計画のきっかけとなったのは、4月20日に発生した「futureshop」ユーザーにおいて発生した、悪意ある第三者による管理者アカウントへの不正ログインだった。なお、futureshopシステムに当該不正ログインの原因となる脆弱性は存在せず、原因はユーザーの管理者アカウントの漏えいであった。

Webセキュリティの国際検証基準「OWASP ASVS 4.0」などでは以前から認証に関して、ブルートフォースアタックを防ぐレート制限などと併せて、多要素認証とリスクベース認証が推奨されており、IDとパスワードのみの認証は、もはや主流ではないどころか、はなはだ頼りない手段になりつつある。

しかし、サービス提供事業者側のコスト負担が嫌われる、あるいはユーザー側がセキュリティ機能よりもまずは料金の安さを求めるなどの実状もあり、多要素認証を採用しているのは、都銀などの金融機関やLINEやGoogleなどのプラットフォーマー等にまだまだ限られているのが現状だ。そしてひとたび事故が発生すると「ユーザーの自己責任」。これが現在大半のサービス提供事業者がとる、あるいはとらざるをえない管理方法だ。

一方で、本事例のようなサービス提供事業者も存在する。サービス提供側に直接の責任がない不正アクセス事案をきっかけに、事故が発生する前に前倒して、さまざまなセキュリティ対策を実施する事例は、攻めのセキュリティ投資の好例であり、DX推進の事例のひとつとも捉えることができるだろう。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 「mixi」に不正ログイン、個人データが第三者に漏えいしたおそれ

    「mixi」に不正ログイン、個人データが第三者に漏えいしたおそれ

  2. 攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

    攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

  3. 今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

    今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

  4. 求人情報サイト「バイトル」へ不正ログイン、新たにアローズコーポレーションでも判明

    求人情報サイト「バイトル」へ不正ログイン、新たにアローズコーポレーションでも判明

  5. サポート詐欺で発覚 ~ 産婦人科医師が不適切な状態で患者データ保管

    サポート詐欺で発覚 ~ 産婦人科医師が不適切な状態で患者データ保管

  6. 2 時間後に気づいたサポート詐欺 ~ 大東文化大学 非常勤講師 PC に不正アクセス

    2 時間後に気づいたサポート詐欺 ~ 大東文化大学 非常勤講師 PC に不正アクセス

  7. スマートグラスで入試問題を撮影しスマートフォンに転送、早稲田の受験生を書類送検

    スマートグラスで入試問題を撮影しスマートフォンに転送、早稲田の受験生を書類送検

  8. 2023年にネットバンキングの不正送金が急増した理由

    2023年にネットバンキングの不正送金が急増した理由

  9. 「JFおさかなマルシェ ギョギョいち」に不正アクセス、カード情報が漏えいした可能性

    「JFおさかなマルシェ ギョギョいち」に不正アクセス、カード情報が漏えいした可能性

  10. Dropbox Sign に不正アクセス、 NICT のセキュリティ講習「実践サイバー演習 RPCI」受講者の個人情報流出

    Dropbox Sign に不正アクセス、 NICT のセキュリティ講習「実践サイバー演習 RPCI」受講者の個人情報流出

ランキングをもっと見る