ECサイトリニューアルで発覚した脆弱性―開発チームと連携した診断・改修の全記録

近年、ECサイトへのサイバー攻撃が急増しています。IPA（情報処理推進機構）の報告によると、Webアプリケーションの脆弱性を突いた情報漏洩事故は年々増加傾向にあり、とりわけECサイトやCMSベースのWebサイトが標的になるケースが目立ちます。

「うちのサイトは大丈夫だろう」―そう考えていた企業様が、実際に診断を受けて驚かれるケースは少なくありません。本記事では、ECサイトのリニューアルをきっかけに脆弱性診断を実施し、発見された問題を開発チームと連携して改修した事例をご紹介します。

あるアパレル企業様は、自社ECサイトのフルリニューアルを進めていました。新しいサイトはPHPベースのWebアプリケーションとして開発され、商品管理にはWordPressベースのCMSを併用する構成です。

リリースを控えた段階で、お客様から次のようなご相談をいただきました。

• 「リニューアルしたECサイトに脆弱性がないか、リリース前に確認したい」
• 「以前、他社の診断サービスを利用したが、レポートを渡されただけで改修方法がわからなかった」
• 「できれば診断だけでなく、問題が見つかった場合の修正まで対応してほしい」

特に2つ目のお悩みは、多くの企業様に共通する課題です。一般的な脆弱性診断会社は「診断して報告する」ところまでがサービス範囲であり、実際の改修は別途開発会社に依頼する必要があります。この「診断と改修の分断」が、脆弱性対応の遅延やコスト増加の原因になっているのです。

今回は、サイトの特性に合わせて3つの診断手法を組み合わせた包括的な診断プランをご提案しました。

まず、実際に稼働しているWebアプリケーションに対して外部からの攻撃をシミュレーションするDASTを実施しました。OWASP ZAPをベースとしたスキャンツールを使用し、攻撃者と同じ視点でサイト全体を検査します。

DASTで検出できる主な脆弱性は以下の通りです。

• クロスサイトスクリプティング（XSS）
• SQLインジェクション
• OSコマンドインジェクション
• クリックジャッキング対策の不備
• Cookie関連の設定不備

ECサイトでは、商品検索フォームやログインページ、決済フローなど、ユーザー入力を受け付ける箇所が多く、これらが攻撃の入口になりやすい傾向があります。

次に、お客様から提供いただいたソースコードに対してSASTを実施しました。SASTはコードレベルで脆弱性を検出する手法で、実行環境がなくても分析が可能です。

SASTでは、以下のような問題を発見できます。

• ハードコードされた認証情報
• 安全でない暗号化方式の使用
• 入力値のバリデーション不備
• オープンソースライブラリの既知の脆弱性（SCA：ソフトウェア・コンポジション解析）

特にSCA（ソフトウェア・コンポジション解析）では、使用しているオープンソースコンポーネントに既知の脆弱性がないかを網羅的にチェックします。PHPフレームワークやnpmパッケージなど、依存関係が複雑になりがちなモダンなWebアプリケーションでは重要な診断項目です。

さらに、テスト環境でのE2Eテスト実行と連動したIASTも実施しました。IASTはアプリケーション内部にエージェントを配置し、実行時の挙動を監視することで、DASTでは検出しにくい内部的な脆弱性を発見します。

DASTの「外からの視点」とSASTの「コードの視点」を補完する役割を果たし、より高い検出精度を実現しました。

これらDAST・SAST・IASTは包括的にご提供するだけでなく、お客様のニーズに応じて個別のサービスとしてもご利用いただけます。「まずはDASTだけ試したい」「WordPressの診断だけお願いしたい」といったご要望にも柔軟に対応しています。

診断の結果、OWASP Top 10（Webアプリケーションのセキュリティリスク上位10項目）に該当する脆弱性が複数検出されました。

検出された主な脆弱性

ECサイトの商品検索でSQLインジェクションが発見されたことは、特に深刻でした。悪用された場合、顧客の個人情報やクレジットカード情報が漏洩するリスクがあります。とりわけクレジットカード情報を扱うECサイトでは、PCI DSS(クレジットカード業界のセキュリティ基準)への準拠が求められます。脆弱性診断は、この基準が要求する「定期的なセキュリティテスト」を満たすうえでも欠かせない取り組みです。

WordPress（CMS）側の診断結果

併設するCMS部分についても、WordPress専用の診断を実施しました。

• 管理画面のログインURLがデフォルトのまま公開されていた
• 未使用のプラグインが有効化されたまま残っていた
• プラグインの1つに既知のXSS脆弱性が存在していた

CMSを用いたWebサイトは、プラグインやテーマの脆弱性が攻撃経路になるケースが多く、定期的な診断が欠かせません。

ここが、私たちのサービスの大きな特長です。

一般的な診断会社の場合、診断レポートの納品がサービスの完了となります。お客様は、レポートの内容を理解し、別途開発会社に改修を依頼する必要があります。技術的な専門知識がなければ、レポートに書かれた内容を開発会社に正しく伝えることも困難です。

私たちは、脆弱性の「発見」から「修正」までをワンストップで対応しました。

改修プロセス

1. 優先度トリアージ：検出された脆弱性を深刻度に基づいて分類し、改修の優先順位を策定
2. 改修方針の提示：各脆弱性に対する具体的なコード修正方針を、お客様と開発チーム双方に共有
3. 改修実施：開発チームが修正作業を実施（診断エンジニアがコードレビューでサポート）
4. 再診断：改修完了後、同一の診断を再実施して脆弱性が解消されたことを確認

このワンストップ対応が可能なのは、私たちがオフショアLab型開発で培った開発プロセス――DevSecOps（開発・セキュリティ・運用の統合）の知見を持つ診断チームだからです。単にツールを回して報告するのではなく、開発プロセスの中にセキュリティを組み込むという考え方で、診断から改修までをシームレスに提供しています。

改修完了後の再診断では、検出されていた全ての脆弱性が解消されたことを確認しました。

お客様からは、次のようなフィードバックをいただきました。

「以前利用した診断サービスでは、英語の専門レポートを渡されて途方に暮れました。今回は診断結果の説明から修正対応まで一貫してサポートしていただけたので、安心してリリースに臨めました」

「セキュリティ診断は高額」というイメージをお持ちの方も多いかもしれません。実際、大手セキュリティ企業に診断と改修を別々に依頼すると、それぞれの工程で費用が発生し、総額が膨らみがちです。

私たちは、ベトナムのオフショア開発拠点で培った効率的な開発体制を活かし、リーズナブルなコストで確かな技術力を提供しています。診断と改修をワンストップで対応することで、コミュニケーションコストの削減と工期の短縮も実現しています。

WordPress脆弱性診断は20万円からご用意しており、規模に応じたプラン選択が可能です。

今回の事例を通じてお伝えしたいのは、脆弱性診断は「リリース前の最終チェック」ではなく、開発プロセスの一部として継続的に実施すべきものだということです。

特にECサイトやCMSベースのWebサイトは、攻撃者にとって魅力的な標的です。OWASP Top 10に挙げられるような脆弱性は、適切な診断と対策を講じることで防ぐことができます。

私たちが提供する脆弱性診断サービスの強みを改めてまとめます。

• 包括的な診断体制：DAST・SAST・IASTを組み合わせた多角的な診断で、見落としを最小化
• 診断から改修まで一貫対応：レポートを渡して終わりではない、開発チームとの連携による改修サポート
• DevSecOpsの知見：オフショアLab開発で培った品質保証プロセスをセキュリティ診断に応用
• 柔軟なサービス提供：包括的な診断も、DAST単体やWordPress診断のみも選択可能
• リーズナブルなコスト：オフショア開発体制を活かした効率的なサービス提供

Webアプリケーションのセキュリティにご不安をお感じの方は、まずはお気軽にご相談ください。現状のリスクを把握するだけでも、次のアクションが明確になります。