The Hacker Newsはこのほど、「Cyberattacks Targeting E-commerce Applications」において、ホンダのeコマースサイトの脆弱性を題材に、ペネトレーションテスト提供サービス(PTaaS: Penetration Test as a Service)の重要性を伝えた。

この脆弱性は「ホンダのEコマースプラットフォームに不正アクセスにつながる脆弱性 | TECH+(テックプラス)」にて報じたとおり、すでに解決されている。The Hacker Newsはこの脆弱性について説明し、その対策を解説している。

この脆弱性は米国在住の研究者Eaton Zveare氏によって発見されたもので、2023年6月6日に公開した「Compromising Honda’s power equipment / marine / lawn & garden dealer eCommerce platform through a vulnerable password reset API」で詳細が報告されている。報告によるとホンダのeコマースサイトには外部から認証せずにパスワードをリセットできる脆弱性があり、これを悪用してYouTubeで公開されているテストユーザーのアカウントでサイトに侵入することが可能だったという。また、このテストユーザーのアカウントで管理者になりすますことも可能で、これにより、ホンダの正規販売店の情報(顧客情報、購入履歴を含む)を横断的に取得できたとされる。

ホンダの脆弱性は、たまたま善意の研究者が最初に発見し、実務に影響が出ないように侵入テストが行われて改善に至っている。もし、攻撃者に発見されていたら、大きな被害が発生していたと予想される。eコマースサイトなどのWebアプリケーションの更新が早いシステムでは、定期的な侵入テストを実施して、脆弱性がないか常に監視する必要がある。

The Hacker Newsによると、eコマースサイトのセキュリティは、顧客、販売店、事業者など関連するすべての人の個人情報と財務情報を扱うため、保護することが必要不可欠とされる。eコマース分野のコンプライアンスも厳しくなっており、金銭的なペナルティを避けるためにもデータ保護はビジネスクリティカルになっているという。

The Hacker Newsは従来のeコマースサイトの侵入テストは契約ベースで行われるため、1回のテストに時間がかかり、年に1、2回程度しか実行できないとしている。これに対し、ペネトレーションテスト提供サービスでは、サイトが更新されるたびに継続的なテストが可能であり、サイトの保護に寄与するとして導入を推奨している。