HOME コラム一覧 知って得するセキュリティのはなし その18

知って得するセキュリティのはなし その18

post_visual

ヤマダ電機通販サイトからカード情報約37,000件流出…不正アクセスでWebアプリ改ざん

1.このニュースをざっくり言うと

- 5月29日(日本時間)、ヤマダ電機より、同社通販サイト「ヤマダウェブコム」「ヤマダモール」が不正アクセスを受け、利用者のクレジットカード情報が流出した可能性があると発表されました。

- 発表によれば、流出の被害を受けたとされるのは、3月18日~4月26日の間に同サイトで新規登録または情報変更した最大37,832件のカード情報(カード番号、有効期限およびセキュリティコード)とのことで、一部悪用が確認されているとのことです。

- 不正アクセスにより、上記の期間にWebサイトの決済アプリケーションが改ざんされていたことが流出の原因としており、同社では4月16日に流出の可能性を把握、その後調査を経て同26日にサイトでのカード登録等を停止したとのことです。

2.執筆者からの所感等

- Webアプリケーションの改ざんにより、「カード情報入力画面に入力した内容が外部に送信されるようになっていた」もしくは「偽のカード情報入力画面に誘導するようになっていた」可能性が考えられます。

- クレジットカード情報(あるいはアカウント・個人情報)を詐取する手口は様々ですが、今回のように実際の決済画面表示時において改ざんを行うケースは、フィッシングメールやマルウェア感染によって誘導するケースに比べてユーザ側での対策が難しく、より確実に情報を詐取できる可能性が高いでしょう。

- クライアントPCのみならずサーバ上においても、脆弱性を突かれることのないようWebアプリケーション等を最新のバージョンに保つことは重要ですし、加えてサーバの設定やソリューションの導入等により、適切なアクセス制限からアプリやコンテンツの改ざん検知あるいは内部からの不正な通信の遮断に至るまで、様々な対策を実施するよう考慮すべきです。

執筆者情報

profile_photo

株式会社アルテミス

株式会社アルテミスは、1995年(平成7年)に設立以来、情報通信および情報セキュリティという事業領域において、お客様ニーズに合わせてワンストップにて各種ソリューションを提供しています。
自社製品として情報セキュリティ関連の各種シリーズをリリース、そのほか、ネットワークセキュリティの分野では、疑似侵入診断サービス、Webアプリケーション診断サービスなどによるネットワークの脆弱性診断などを展開するなど、官公庁・金融機関・一部上場企業を初めとする大手・中堅企業から中小企業に至るまで、多くの企業がセキュアなシステムを構築するための支援を首尾一貫して提供しています。
特に50名以下の管理者がいない法人(SMB)法人に対してセキュリティ+マネージドサービスを提供しています。
SMB市場でのセキュリティ機器&サービスは、提案、購入するだけでは、エンドユーザへの『真の導入には至らない』ため、システム管理者が不在でも、機器の運用、サービスの運用、 IT機器の活用方法、トラブル対応、リスク対応などを標準化した商品を提供しています。

株式会社アルテミス
https://www.artemis-jp.com/

株式会社アルテミス AUS便り
https://www.artemis-jp.com/wp/aus_arc/

この記事のカテゴリ

この記事のシリーズ

知って得するセキュリティのはなし

記事の一覧を見る

関連リンク

知って得するセキュリティのはなし その17

税務・会計に関する情報を毎週無料でお届けしています!

メルマガ登録はこちら

コラム
/column/2019/img/thumbnail/img_33_s.jpg
- 5月29日(日本時間)、ヤマダ電機より、同社通販サイト「ヤマダウェブコム」「ヤマダモール」が不正アクセスを受け、利用者のクレジットカード情報が流出した可能性があると発表されました。- 発表によれば、流出の被害を受けたとされるのは、3月18日~4月26日の間に同サイトで新規登録または情報変更した最大37,832件のカード情報(カード番号、有効期限およびセキュリティコード)とのことで、一部悪用が確認されているとのことです。- 不正アクセスにより、上記の期間にWebサイトの決済アプリケーションが改ざんされていたことが流出の原因としており、同社では4月16日に流出の可能性を把握、その後調査を経て同26日にサイトでのカード登録等を停止したとのことです。
2019.06.12 16:31:45