ECサイト構築プラットフォーム「futureshop」がセキュリティ強化を予定を前倒して実装、秋には多要素認証も計画 | ScanNetSecurity
2021.06.20(日)

ECサイト構築プラットフォーム「futureshop」がセキュリティ強化を予定を前倒して実装、秋には多要素認証も計画

本事例のようなサービス提供側に直接の責任がない不正アクセス事案をきっかけに、事故発生前に前倒しにさまざまなセキュリティ対策を実施する事例は、攻めのセキュリティ投資でありDX推進の事例とも捉えることができるだろう。

製品・サービス・業界動向 新製品・新サービス
SaaS型ECサイト構築プラットフォーム「futureshop」を運営する株式会社フューチャーショップは4月21日、本年8月24日に予定していたセキュリティ強化のための仕様変更を4月26日に前倒しして実施すると発表した。さらに同社では11月を目処に、これまでのIDとパスワードのみの認証から、管理者ログインの多要素認証実装を行うという。

これらの前倒し対応及び多要素認証実装計画のきっかけとなったのは、4月20日に発生した「futureshop」ユーザーにおいて発生した、悪意ある第三者による管理者アカウントへの不正ログインだった。なお、futureshopシステムに当該不正ログインの原因となる脆弱性は存在せず、原因はユーザーの管理者アカウントの漏えいであった。

Webセキュリティの国際検証基準「OWASP ASVS 4.0」などでは以前から認証に関して、ブルートフォースアタックを防ぐレート制限などと併せて、多要素認証とリスクベース認証が推奨されており、IDとパスワードのみの認証は、もはや主流ではないどころか、はなはだ頼りない手段になりつつある。

しかし、サービス提供事業者側のコスト負担が嫌われる、あるいはユーザー側がセキュリティ機能よりもまずは料金の安さを求めるなどの実状もあり、多要素認証を採用しているのは、都銀などの金融機関やLINEやGoogleなどのプラットフォーマー等にまだまだ限られているのが現状だ。そしてひとたび事故が発生すると「ユーザーの自己責任」。これが現在大半のサービス提供事業者がとる、あるいはとらざるをえない管理方法だ。

一方で、本事例のようなサービス提供事業者も存在する。サービス提供側に直接の責任がない不正アクセス事案をきっかけに、事故が発生する前に前倒して、さまざまなセキュリティ対策を実施する事例は、攻めのセキュリティ投資の好例であり、DX推進の事例のひとつとも捉えることができるだろう。

《ScanNetSecurity》

関連記事

PageTop

特集

アクセスランキング

  1. 富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

    富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

  2. パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

    パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

  3. スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

    スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

  4. 「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

    「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

  5. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  6. 病院向け情報管理システム OpenClinic GA に複数の脆弱性

    病院向け情報管理システム OpenClinic GA に複数の脆弱性

  7. 富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

    富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

  8. クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

    クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

  9. かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

    かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

  10. Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

    Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

ランキングをもっと見る