ほとんどのWebサイトに実装されている「問い合わせフォーム」にはセキュリティに関する重大な脆弱性が隠されている場合があることをご存知でしょうか。
危険とされるのはなぜなのか、それに対しなにをすれば良いのか、問い合わせフォームに関するセキュリティ対策についてご紹介します。
問い合わせフォームの利用に注意
セキュリティ対策が行われていない問い合わせフォームでは、データベースを操作するプログラミング言語であるSQLが悪用され不正な操作が行われるSQLインジェクションや、ウィルスをダウンロードさせたり入力した情報を盗んだりと、ユーザーのWebページを勝手に操作するXSSなどの攻撃を受ける可能性が非常に高い状態にあります。
結果、セッションデータを乗っ取られる、他のユーザーや第三者がフィッシングサイトに誘導される、個人情報を抜き取られる、データベースを改ざんされるといった重大なセキュリティエラーに繋がる可能性があります。
自社のWebサイトに被害が及ぶだけでも大きな問題となりますが、そのまま放置してしまうと、さらに不正アクセスやマルウェアを拡散させるための踏み台として利用されてしまうこともあります。問い合わせフォームのセキュリティ対策には十分な注意が必要です。
問い合わせフォームが危険な理由
問い合わせフォームはなぜ危険なのでしょうか。
動的コンテンツなので脆弱性を抱えやすい
動的コンテンツとはリクエストに応じてコンテンツを生成するWebページのことです。動的コンテンツにはスクリプトを実行する機能が備わっているため、その分、攻撃を受けやすいとされています。もともと脆弱性を抱えているとも言えますので、これを防ぐための対策をしておくことが求められます。
問い合わせフォームのセキュリティ対策
問い合わせフォームには以下のセキュリティ対策が求められます。
必要のない情報は入力させない
ユーザーが問い合わせフォームで送る内容には重要な情報はできる限り含めない環境設定を行います。特に個人情報を含むデータは最低限必要なもののみを取得するようにしましょう。問い合わせフォームに備考欄などのフリースペースを設ける場合は、住所、クレジットカード番号などの情報を書かないよう注意を促す文面を表示させるのも良いでしょう。
セキュリティ対策が万全なシステムを利用する
Webサイトに問い合わせフォームを設置するためのプラグインを利用する場合、事前に十分な調査を行った後、脆弱性対策、セキュリティ対策がしっかりと施されているものを使用してください。無料のものをそのままで使い続けるのはおすすめできません。さらに、脆弱性の情報収集はもちろんですが、OSやソフトウェアのバージョンを最新のものに保つこともおすすめします。
自社開発の際はセキュリティ要件を確認する
問い合わせフォームを自社開発する場合はセキュリティ要件をしっかり確認して、強固かつ万全なシステムを構築するようにしましょう。また、脆弱性がないか監視が行える環境構築を行い、定期的に確認することもおすすめします。
まとめ
問い合わせフォーム作成ツールやサービスを利用する際には、セキュリティ対策をしっかり行うことを意識して、プライバシーマークやISMSなどの第3者による認証が取得できているかなどのセキュリティ対策への取組みを確認するようにしましょう。そして、問い合わせフォームのセキュリティに関して不安な点がある場合はセキュリティ診断や対策会社に相談することをおすすめします。
ソニーペイメントサービスでは、ペネトレーションテストなどのセキュリティのプロによる綿密な診断を行い、問い合わせ時から安全な環境を提供しています。Webサイトの運営においては、ユーザーにとっても自社にとっても安全な環境であり続ける必要がある為、セキュリティに精通した専門家による診断サービスを活用するようにしましょう。