最近ECサイトにて不正プログラムによるクレジットカード情報を取得されるケースがでてきていますが、それらをMagentoを利用する上で考えられる対策をしたいと思います。
全国40の企業・団体のサイト改竄、顧客情報流出か 通販狙う「ウェブスキミング」
約20都道府県、約40の企業や団体のインターネット通販サイトなどが不正なプログラムを仕掛けられて改竄(かいざん)され、顧客情報が流出した恐れがあることが、警察庁への取材で分かった。
引用元:Gooニュース
Magentoのアップグレードについては、リリーススケジュールが公開されていています。カスタマイズ等によるバッティングが無いかどうかの検証を踏まえつつ、セキュリティパッチの適用やアップグレードを行うことで対策が可能です。
フロント側での対策としてはDDoS攻撃への対策としてCDNやキャッシュサービスを利用しての負荷分散やエクステンションを導入することで、セキュリティ対策の追加が行えます。
・GeoIP Redirectを設定し、特定の国や地域からのアクセスを制限
・Google reCAPTCHAを設定し、顧客のサインインやお問い合わせページなどで利用可能
バックエンド側の対策としても主にエクステンションを利用して、不用意にバックエンドへのアクセスが行われないようにします。
フロント側、バックエンド側の対策以外にMagentoを設置するサーバについての対策も必要になります。
Magentoのセキュリティ対策とともに、バージョンアップや保守運用まで含めてご相談いただける場合は、Magento 保守・運用支援のページをご覧ください。
最優先はMagentoのアップグレードとセキュリティパッチの適用です。公式リリースノートを定期的に確認し、拡張機能も含めて最新バージョンを維持することが基本的な対策となります。Adobe公式のMagento Security Scan Toolの活用も推奨されています。
管理パネルのURLを変更して第三者に推測されにくくすること、二要素認証(2FA)を追加すること、Watchlogなどのエクステンションでブルートフォース攻撃を監視・防止することが有効です。内部不正対策にはAmasty Admin Actions Logによる管理者操作の記録も有効です。
CDNやキャッシュサービスを導入することでDDoS攻撃時のトラフィックを複数サーバーに分散し、オリジンサーバーへの直撃を防げます。さらにWAF(Fastly、AWS WAF、Cloudflareなど)を組み合わせることで悪意あるリクエストをフィルタリングできます。