知って得するセキュリティのはなし その18
ヤマダ電機通販サイトからカード情報約37,000件流出…不正アクセスでWebアプリ改ざん
1.このニュースをざっくり言うと
- 5月29日(日本時間)、ヤマダ電機より、同社通販サイト「ヤマダウェブコム」「ヤマダモール」が不正アクセスを受け、利用者のクレジットカード情報が流出した可能性があると発表されました。
- 発表によれば、流出の被害を受けたとされるのは、3月18日~4月26日の間に同サイトで新規登録または情報変更した最大37,832件のカード情報(カード番号、有効期限およびセキュリティコード)とのことで、一部悪用が確認されているとのことです。
- 不正アクセスにより、上記の期間にWebサイトの決済アプリケーションが改ざんされていたことが流出の原因としており、同社では4月16日に流出の可能性を把握、その後調査を経て同26日にサイトでのカード登録等を停止したとのことです。
2.執筆者からの所感等
- Webアプリケーションの改ざんにより、「カード情報入力画面に入力した内容が外部に送信されるようになっていた」もしくは「偽のカード情報入力画面に誘導するようになっていた」可能性が考えられます。
- クレジットカード情報(あるいはアカウント・個人情報)を詐取する手口は様々ですが、今回のように実際の決済画面表示時において改ざんを行うケースは、フィッシングメールやマルウェア感染によって誘導するケースに比べてユーザ側での対策が難しく、より確実に情報を詐取できる可能性が高いでしょう。
- クライアントPCのみならずサーバ上においても、脆弱性を突かれることのないようWebアプリケーション等を最新のバージョンに保つことは重要ですし、加えてサーバの設定やソリューションの導入等により、適切なアクセス制限からアプリやコンテンツの改ざん検知あるいは内部からの不正な通信の遮断に至るまで、様々な対策を実施するよう考慮すべきです。