Magentoのセキュリティ対策を考える

最近ECサイトにて不正プログラムによるクレジットカード情報を取得されるケースがでてきていますが、それらをMagentoを利用する上で考えられる対策をしたいと思います。

最近のニュースから

全国40の企業・団体のサイト改竄、顧客情報流出か　通販狙う「ウェブスキミング」
約20都道府県、約40の企業や団体のインターネット通販サイトなどが不正なプログラムを仕掛けられて改竄（かいざん）され、顧客情報が流出した恐れがあることが、警察庁への取材で分かった。

引用元：Gooニュース

Contents

1. アップグレードやパッチ適用を行う
2. フロント側での対策
3. バックエンド側での対策
4. インフラでの対策方法

1. アップグレードやパッチ適用を行う

Magentoのアップグレードについては、リリーススケジュールが公開されていています。カスタマイズ等によるバッティングが無いかどうかの検証を踏まえつつ、セキュリティパッチの適用やアップグレードを行うことで対策が可能です。

・Magentoの公式リリースノートを定期的に確認し、セキュリティパッチを適用
・拡張機能を利用している場合は拡張機能も最新バージョンで使用
・Adobe公式のMagento Security Scan Toolの利用

2. フロント側での対策

フロント側での対策としてはDDoS攻撃への対策としてCDNやキャッシュサービスを利用しての負荷分散やエクステンションを導入することで、セキュリティ対策の追加が行えます。

・GeoIP Redirectを設定し、特定の国や地域からのアクセスを制限
・Google reCAPTCHAを設定し、顧客のサインインやお問い合わせページなどで利用可能

3. バックエンド側での対策

バックエンド側の対策としても主にエクステンションを利用して、不用意にバックエンドへのアクセスが行われないようにします。

・管理パネルのURLを変更
・二要素認証（2FA）を追加
・Watchlogによるブルートフォース攻撃を監視・防止、ログイン試行の監視と失敗ログの記録
・Amasty Admin Actions Logにて内部不正の検出や管理者権限の不正利用を防ぐ

4. インフラでの対策方法

フロント側、バックエンド側の対策以外にMagentoを設置するサーバについての対策も必要になります。

・Web Application Firewallの利用（Fastly 、AWS WAF、Cloudflare Integration for Magento、Sucuri Security Pluginなど）
・ログ、サーバー監視(リソース、パフォーマンスを監視)
・クロスサイトスクリプティング（XSS）、クリックジャッキング対策
・バックアップ　定期的なバックアップを実施し攻撃やデータ損失時に迅速に復旧
・IPアドレス制限を行い、アクセス可能な環境を制限

マスク・ド・マジェント

Magentoの自社案件をほぼ担当している中の人。主に要件などを担当するが、設定回りも行うことも。砂糖と小麦粉があれば生きていける。