ショッピングサイトでは、多くの商品情報や利用者情報を持っており、また、商品の売買を目的としているためにクレジットカード情報などが通信される。そのため、セキュリティ上の問題が悪用された場合には、ショッピングサイトの運営者や利用者に金銭的な被害が出る可能性がある。情報処理推進機構(IPA)は、このような被害を防止するため、ショッピングサイト運営上の注意事項をまとめ発表した。
IPAによると、ショッピングサイトは、インターネットが利用可能な利用者であれば、誰でも手軽に利用できるが、同時に悪意を持つ人も利用できるため、ショッピングサイトのサーバー保護や利用者の個人情報などの保護には最新の注意が必要だと指摘。ショッピングサイト運営上において考えられる脅威として、1)情報の改ざん・消去、2)サービスの妨害、3)顧客情報・重要情報の漏えい、4)通信の盗聴の4点を挙げている。
また、注意すべきセキュリティ上の問題として、1)パス・トラバーサル、2)ショッピングサイト上の表記改ざん、3)オーバーフロー、4)コマンド・インジェクション、5)クロスサイト・スクリプティング、6)セッション・ハイジャック、7)ネットワーク盗聴、8)パスワード推測、9)盗み見、10)フィッシング詐欺につながる問題、の10項目を挙げ、対策方法を説明している。
ショッピングサイトを運営には、まずウェブサーバを構築する必要がある。このウェブサーバにセキュリティ上の問題が存在した場合、上記のいずれかの問題を引き起こす可能性がある。そのため、ウェブサーバを構築する際には、セキュリティ上の問題を取り払う必要がある。例えば、利用しているOSやアプリケーションにセキュリティ上の問題が発見された場合には、修正プログラムを適用するようにすることを勧めている。
セキュリティ上の問題10項目の対策方法など詳細は↓
http://www.ipa.go.jp/security/vuln/documents/2005/EC_Security.pdf