メインコンテンツへスキップ
  • システム設定で設定できる管理画面JQueryバージョンは、最新にしておくことでセキュリティの脆弱性を防ぐことが可能です。

     

    01jQueryの基礎知識

    1.1jQueryとは

    jQueryとは、JavaScriptで行えることをシンプルにまとめたライブラリ言語です。
    jQueryを使用するには、jQueryをダウンロード、もしくはWEB上から読み込む必要があります。

    読み込めるjQueryにはバージョンがあり、そのバージョンは更新されていきます。
    バージョンが更新される中で、旧バージョンを使用し続ける場合はクロスサイトスクリプティング(XSS)の被害を受ける脆弱性が危惧されます。

    XSSについては、以下FAQをご確認ください。

     

    1.2jQueryのバージョンについて

    1.1でも述べたように、jQueryにはバージョンがあり、旧バージョンを使用し続けている場合、クロスサイトスクリプティング(XSS)の被害を受ける脆弱性が指摘されています。

    SMPでは管理画面上でバージョンを変更することが可能です。
    セキュリティダッシュボードにて「管理画面jQueryバージョン」のエラーが表示された場合は、最新のバージョンに設定の変更することを推奨します。
    jQueryのバージョンを最新に設定していただくことで、脆弱性対策を行うことが可能です。

    SMPで登録できるjQueryバージョンについては、以下の3つがあります。(2023年1月時点)

    バージョン 説明
    1.3.2: JQuery 1.3.2 SMPで選択できる中では一番古いバージョンになります。
    ※旧UIのみ選択が可能で、新UIでは表示されず、選択できないようになっています。
    3.3.1: JQuery 3.3.1 クロスサイトスクリプティング(XSS)の脆弱性が存在します。
    3.5.1: JQuery 3.5.1 最新のバージョンになります。

     

    注意点

    最新のバージョンではない場合、SMPの一部機能が意図しない挙動になったり、使用できないことがあります。

     

    02SMPでのjQueryバージョン変更について

    2.1対策前の確認

    jQueryのバージョンを変更する際は、変更にあたっての影響範囲を踏まえたうえで設定を行う必要があります。
    管理画面のカスタマイズを行っている場合、意図しない挙動になってしまう可能性があるためです。

    また、以下のようなシステム設定の場合は、管理画面をカスタマイズしている可能性があるため、切り替えを行う前に担当営業までご相談ください。

    全キャンペーン(青色の画面):[設定]>[システム設定一覧]
    項目名 設定値
    ヘッダー・フッター

    0(無効)

    ※表示が「0(無効)」の場合でも、システム設定一覧で[編集]から確認すると「2」と記載されている場合がありますが、その場合も担当営業までご相談ください。

     

    2.2対策の設定方法

    SMPの管理画面でjQueryを変更する場合は、以下の手順で可能です。

    1. 全キャンペーン(青色の画面):[設定]>[システム設定一覧]をクリック

    2. 上部にある[編集]ボタンをクリック
    3. 画面内検索(Ctrl+F)で「jQuery」と検索
    4. 「管理画面JQueryバージョン」の項目で、「3.5.1」を選択
    5. 下にスクロールし[登録]ボタンをクリック
      settei.gif

     

    2.3設定後の確認

    管理画面のカスタマイズを行っておらず、最新のバージョンに変更した場合は基本的に画面に変更はないため、確認の必要はありません。

    しかし、管理画面をカスタマイズしている可能性がある場合や、2.1で記載した設定を行っている場合は動作検証が必要になるため、一度、担当営業までご相談していただき、挙動の確認をお願いします。

    設定後は実際に管理画面などを閲覧し、動作に問題がないかを確認してください。

     

    03関連コンテンツ

     

    管理画面jQueryバージョン対策について

  • X-Frame-Optionsの設定は、クリックジャッキング攻撃の対策を行うことが可能です。
    本記事では、クリックジャッキング攻撃の基礎知識と具体的な対策方法について案内します。

     

    01クリックジャッキングの基礎知識

    1.1 クリックジャッキング攻撃とは

    クリックジャッキングとは、Webサイト上に隠蔽・偽装したリンクやボタンを設置し、サイト訪問者を視覚的に騙してクリックさせる等、訪問者の意図しない操作をするよう誘導させる攻撃手法です。

    例えば、ボタンやリンク等を透明で見えない状態にし、通常のWebサイトとかぶせることによって、Web訪問者の意図しない悪意のあるサイトに遷移してしまう、あるいは埋め込まれたコードを実行させられてしまうことがあります。

    ____________________10_.png

    図1.クリックジャッキング攻撃の例

    具体的には、悪意のあるサイトから「iframe(インラインフレーム)」等のHTMLタグを使って、通常のWebページを呼び出すことで、指定したURLリンク先のページ内容を、現在表示しているページの一部分であるかのように表示させることができます。

    ____________________11_.png

    図2.クリックジャッキング攻撃の仕組み例

     

    1.2 X-Frame-Optionsとは

    通常のWebサイト側で予めHTTPレスポンスヘッダに X-Frame-Options を指定することで、
    Web ブラウザが別ページ中のframeタグやembedタグ、objectタグから、通常のWebサイト情報を参照して埋め込み表示するのを許可するかどうか指定するもので、クリックジャッキングを防止する対策手法です。

    ____________________12_.png

    図3.X-Frame-Optionsの例

     

    02SMPでのクリックジャッキング攻撃対策について

    2.1 SMPでのクリックジャッキング攻撃対策

    SMPでは、外部のページ内からSMPの画面を呼び出すことに対して制御をかけ、表示できないようにするといったクリックジャッキング攻撃対策が設定できます。

    ____________________5_.png

    図4.SMPでのクリックジャッキング攻撃対策

     

    2.2 影響範囲の調査方法

    SMPにてクリックジャッキング攻撃対策をするためには、
    現在のお客様の設定を確認いただいたうえで、設定する必要がございます。

    以下、お客様の設定をご確認の上、「2.3対策の設定方法」にお進みください。

    1. お客様のSMPのシステム設定一覧で設定されている値を確認します。
      全キャンペーン>サイドメニュー:設定>システム設定一覧
      確認する項目:X-Frame-Options
    2. 外部サイトでのSMPの使用状況の確認をします。
      ①SMPで作成した申込フォームを外部サイトに埋め込んでいるか。
      ②①に該当する場合、以下のタグを使用して申込フォームURLを呼び出しているか。
      使用タグ:iframe、embed、object
      ※お客様の使用しているサイトの構成をご確認ください。

     

    2.3 対策の設定方法・手順

    設定方法は以下のとおりです。

    全キャンペーン>サイドメニュー:設定>システム設定一覧
    1. 全キャンペーン>サイドメニュー>設定>システム設定一覧をクリックします。

    2. 画面内検索(CTRL+F)で「X-Frame-Options」を検索します。
    3. 画面上部にある「編集」リンクをクリック後、「SAMEORIGIN」を選択し、画面最下部の登録ボタンをクリックします。

     

    • 「2.2影響範囲の調査方法」でSMPで作成したフォームを外部サイトで使用している場合は、「ALLOW-FROM」を選択し、ドメインを設定してください。

    __________2023-01-19_102142.jpg

    図5.システム設定一覧イメージ

    ■各選択肢の説明

    X-Frame-Options 説明

    OFF

    外部WebサイトにてSMPページ表示できる

    SAMEORIGIN

    同一ドメイン内のみ、SMPページ表示を許可(SMP自サイト内のみ表示)

    ALLOW-FROM

    設定手順2.の一つ下にある項目

    「X-Frame-OptionsがALLOW-FROM時の許可ドメイン」で指定したドメインに限り、SMPページ表示を許可

     

    X-Frame-Options対策について

  • システム設定を管理するシステム設定とは、お客様のSMP環境におけるさまざまな設定を管理している画面です。項目によっては、お客様自身で変更できない項目もございます。その際は弊社担当者までご相談ください。設定値の変更方法は、次のとおりです。システム設定一覧画面([設定][システム設定一覧])に遷移します[編集]ボタンをクリックします変更・確認したい項目を探します補足システム設定一覧画面では検索機能はありません。そのため、画面検索を行って探してください。例:PC環境で閲覧している場合キーボードの「Ctrl」+「F」より、画面検索ができます。システム設定一覧画面で「パスワード」をキーワードに検索した場合の例システム設定編集画面に遷移しますキーボードで「Ctrl」+「F」より、「パスワード」検索します項目の詳細説明を確認します項目の右にあるハテナマーク()をクリックします下記キャプチャより、「パスワードの有効期間(日)(管理者)」の項目を変更する例とします。説明内容を確認します設定値を変更します画面下部の[登録]ボタンをクリックして、設定変更を完了させます
    https://smpdoc.shanon.co.jp/ja/setting/multisystemsetting/

    システム設定を管理する

  • SHANON MARKETING PLATFORMには、アクセス集中時やエラーが発生した場合の画面、システムのメンテナンス中に表示される画面があります。
    各画面の表示に関しましては、以下のマニュアルに詳しい記載があります。

    関連マニュアル

     

    アクセス集中時、どのような画面が表示されるのか

  • 管理画面UIバージョンを最新バージョンに変更することで可能です。
    管理画面UIバージョンとは、SHANON MARKETING PLATFORM (以下、SMPと表記)の管理画面デザインを変更できる機能を指します。利用できる製品機能や仕様制限等に違いはありません。

    2020年7月現在、管理画面UIバージョンは「バージョン最新」「バージョン1」の二種類から選択できます。

    【1】バージョンによる管理画面UIの違い

    ◆管理画面UIバージョン最新の場合

    61.png

    図1:管理者UIバージョン最新

    ◆管理画面UIバージョン1の場合

    71.png

    図2:管理者UIバージョン1

     

    【2】設定の確認・変更方法

    1. 全キャンペーン(セミナー)管理モード>[設定]タブ>[システム設定一覧]メニューを開きます。
    2. システム設定項目「管理画面UIバージョン」から、現在の設定値を確認します。
    3. 設定値を変更したい場合には、画面上部の[編集]ボタンをクリックし設定値を変更して、[登録]をクリックします。

      51.gif

     

    注意点

    ・特権管理者権限をお持ちの管理者のみが変更できる設定機能となります。

    ・管理画面カスタマイズ※1 を行われている環境では、カスタマイズ部分に画面崩れ等の影響が出る恐れがあります。

    ・「管理画面UIバージョン」にて「バージョン 1」以外を選択すると以下も設定されます。
     「管理画面UIバージョン」を「バージョン 1」に戻す場合は、以下の項目も合わせてご確認ください。
     ー管理画面JQueryバージョン: 3.3.1
     ー大規模向けページャーを利用する: 有効

    ※1 管理画面カスタマイズとは
    管理画面のデザインを個別環境独自で変更することができる機能です。
    全キャンペーン(セミナー)管理モード>[設定]タブ>[システム設定一覧]メニューのシステム設定項目「ヘッダー・フッター 」が「無効」となっている場合に、管理画面カスタマイズを利用している可能性があります。
    「ヘッダー・フッター:無効」のドメインをご利用の場合は、変更前に担当営業へ管理画面UIバージョンの変更可否をご確認ください。  

    41.PNG 

    管理画面のUIバージョンを変更したい

  • ドメインに対するIP制限を実施する場合、許可するIP範囲を記述する必要があります。
     
    現在、設定されているIPアドレスに追加する場合は、「:」で続けて追記して下さい。 
    このときの記述方法について、「192.168.0.0/24」と いったCIDRによる指定や、 
    「192.168.0.1 - 192.168.0.50」といった範囲指定もできます。
    項目名 値の入力例 区切り文字 制限IPアドレスの範囲 説明
    制限IPアドレス 192.168.216.10:172.1.2.10 :
    半角コロン
    192.168.216.10と172.1.2.10の
    IPアドレスからのアクセスを許可します。

    IPアドレスを追加したい場合には、「半角コロン(:)」を入力し、その後に追加したいIPアドレスを入力します。

    192.168.1.11-192.168.1.21 -
    半角ハイフン
    192.168.1.11~192.168.1.21の
    IPアドレスからのアクセスを許可します。
    IPアドレスの範囲を指定したい場合には、「半角ハイフン(-)」を入力し、その後に追加されたい範囲のIPアドレスを入力します。
    192.168.216.0/24 /24
    CIDR表記(半角)
    192.168.216.0~192.168.216.255の
    IPアドレスからのアクセスを許可します。
    IPアドレスの範囲をCIDR表記で指定したい場合には、「CIDR表記(/24)」を入力し、範囲指定することが可能です。
     
     

    制限IPアドレス指定方法

    1. [全キャンペーン(セミナー)管理]画面の[設定]タブをクリックします。
    2. [システム設定一覧]メニューをクリックします。
    3. [システム設定一覧]画面の上部の[編集]ボタンをクリックします。
    4. 以下の項目からアクセス可能にするIPアドレスを追加します。 
       設定名:[制限IPアドレス] 
       以下、IPアドレスの設定例になります。
       
      [設定例1] 192.168.216.0~192.168.216.255 を公開対象としたい場合 
         192.168.216.0/24 

      [設定例2] 192.168.216.10と172.1.2.10 を公開対象としたい場合  
         192.168.216.10:172.1.2.10 

      [設定例3] 192.168.216.0~192.168.216.255と172.1.2.10 を公開対象としたい場合
         192.168.216.0/24:172.1.2.10

      [設定例4] 192.168.1.11~192.168.1.21と172.1.2.10 を公開対象としたい場合
           192.168.1.11-192.168.1.21:172.1.2.10

    5. 画面下部の[登録]ボタンをクリックして保存します。 

    管理画面にアクセスできるIPアドレスを制限したい

  • 各項目の登録日時及び更新日時について下記に記載いたします。
    項目名 内容
    システム登録日時 リード(申込者)が一番最初にSMPに登録された日時です。
    申込一覧の「登録日時」 申込一覧の登録日時は、各キャンペーン(セミナー)へ申込した日時です。 ※最初に申込したキャンペーン(セミナー)の登録日時は、システム登録日時と同じになっているリード(申込者)もいます。
    システム更新日時 リード(申込者)の情報が更新された日時です。(SMP登録後に住所を変更や、新たに別の申込をした場合など)
    申込一覧の「更新日時」 申込一覧の更新日時は、管理側から申込情報を変更した場合や、CSVで上書きした場合に更新される日時です。 管理画面では、[申込一覧]から、申し込み情報の[編集]を開き変更(入金フラグ等がある画面)した場合に更新日時がアップデートされます。
    ※キャンセルをしたときは、更新日時は変更されません。

    システム登録日時の「登録日時」と「更新日時」の違い