サイトへの攻撃を止めるためにやるべきこと

最近はECサイトに限らず、至る所でセキュリティ事故に関するニュースをよく耳にします。
特にサーバ攻撃も増加傾向にあると思います。
今回はそういったサーバへの攻撃対策についてお話したいと思います。

そもそも攻撃って何のためにするのか？

基本的には金銭の要求が多いと考えられますが、愉快犯や企業を狙った組織犯罪・産業スパイ、その他にも公な場での主張というものもあるようです。

攻撃の種類について

企業や個人といったように特定の相手に攻撃を行うことも可能で特にECサイトであればDDoS攻撃が多く、最近ではカード番号を特定するためにカード登録のフローや購入フローなど特定の画面に絞ってアクセスされることも多々あります。

reCAPTCHAについて

そういった攻撃に対して打てる手立てとしてGoogle社が提供しているreCAPTCHAというサービスがあります。

こちらは一般によく利用されているサービスでフロー中に画像認証を挟むことで自動実行プログラムのようなロボットではないと確認するようにしております。

またreCAPTCHAの強度も強・中・弱と3段階で選ぶことができます。
例えば導入後は強に設定しておき、しばらくして購入タイミングであまり画像認証を出したくない場合は弱に切り替えるということも可能です。

こちらはGoogleアカウントからレポートを見ることも可能なので、そちらを元に強弱を調整することもできます。

reCAPTCHAの導入事例

弊社のお客様でも大量にカード試行が行われたケースがあり、多い時で一日で1万回以上処理が行われておりました。

ほとんどが海外からのアクセスのだったのでIPの遮断を行いましたが、別IPからアクセスされるためいたちごっこになってしまいました。
(国IPはサーバの構成上遮断できない状態でした)

こういったことからreCAPTCHAの導入を踏み切られましたが、導入後は海外からの不正なカード試行はピタッと止まりました。

最後に

reCAPTCHAを導入することはコストもかかり、サイトによってはインフラ側で対策をしているのであれば、費用対効果が悪い可能性があります。
方法はどうであれこういった攻撃はいつの時代にも存在し、いつ被害にあうかわかりません。
そういったことに対するコストは目に見えて効果が表れないため、無駄に感じるかもしれませんが、決してそんなことはないということを本記事で少しでも感じていただければ幸いです。