知って得するセキュリティのはなし その97
食品メーカーのECサイトからカード情報1,293件流出…不正アクセスによりWebアプリケーション改ざん
1.このニュースをざっくり言うと
- 1月19日(日本時間)、精肉・惣菜等を販売する柿安本店より、同社ECサイト「柿安オンラインショップ」が不正アクセスを受け、クレジットカード情報が流出したと発表されました。
- 流出した可能性があるのは、2020年4月29日~9月30日に同サイトで決済に使用されたクレジットカード情報(名義人名、番号、有効期限およびセキュリティコード(CVV))1,293件とされています。
- 2020年10月13日にクレジットカード会社からカード情報流出の懸念があるとの連絡を受けて決済を停止、同12月7日までに第三者調査機関による調査が行われ、流出および一部情報の不正利用の事実が確認されたとしています。
2.執筆者からの所感等
- 流出の原因については「システムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため」としており、フォームから入力されたクレジットカード情報が攻撃者に送信されるよう仕向けられたものとみられます。
- ECサイトからのクレジットカード情報を奪取する手口については、以前は「サーバー上に保存・蓄積されていたカード情報を奪取する」ものも多くありましたが、クレジットカード業界団体によるガイドラインの策定により、基本的にサイト上ではセキュリティコードをはじめとするカード情報を保持しない(非保持化)方針が推し進められてからは、「カード情報の入力フォームを改ざんし、入力されたカード情報を奪取する」パターンが主流となっています。
- 上記2通りの手口のいずれにしても、大抵はWebサーバーやアプリケーションの脆弱性(SQLインジェクション・ディレクトリトラバーサル等)を突かれて行われるものであり、根本的対策として使用しているソフトウェアを最新のバージョンに保ち、また独自のWebアプリケーションの開発においても各種脆弱性が発生しないような開発体制をとること等が肝要であり、加えてそういった攻撃を受ける前に外部機関による診断を受ける、不正なリクエストを検知・遮断するソリューションを導入する等、各種対策をとって頂ければ幸いです。