知って得するセキュリティのはなし その109
カステラ販売サイトから709人分のクレカ情報流出
1.このニュースをザックリ言うと
- 4月12日(日本時間)、カステラ製造販売業の異人堂より、同社が運営するショッピングサイトが不正アクセスを受け、クレジットカード情報が流出したと発表されました。
- 被害を受けたのは、2019年11月29日~2020年11月20日の間に同サイトでクレジットカード決済を行った購入者709名・738件分のクレジットカード情報(名義人名、番号、有効期限およびセキュリティコード(CVV))とされています。
- 2020年11月20日に、クレジットカード会社からカード情報流出の懸念について連絡を受け決済を停止しており今年2月26日までに第三者機関による調査が行われた結果、流出および一部情報の不正利用の事実が確認されたとしています。
2.執筆者からの所感等
- 流出の原因については「システムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため」としており、フォームから入力されたクレジットカード情報が攻撃者にも送信されるよう仕向けられたものとみられます。
- ECサイト上でのクレジットカードの扱いについて「サイト上でカード情報を保持するにはPCI DSSに準拠する」さもなくば「セキュリティコードをはじめとするカード情報を保持しない(非保持化)」とするガイドラインが2016年にカード業界団体において策定されたことを受け、多くのECサイトは決済代行業者と契約する等して自前での非保持化を選択したとみられ、現在におけるECサイトからのクレジットカード情報を奪取する手口は、「サーバー上に保存・蓄積されていたカード情報を奪取する」ものから「カード情報の入力フォームを改ざんし、入力されたカード情報を奪取する」ものへと主流が移行しています。
- ただし、これらの手口はいずれも、Webサーバー・アプリケーションの脆弱性(SQLインジェクション・ディレクトリトラバーサル等)を突かれて行われる点で共通しており、根本的対策として、使用している各ソフトウェアを最新のバージョンに保つこと、また独自のWebアプリケーションの開発において各種脆弱性が発生しないような開発体制をとること等が肝要であり、加えてそういった攻撃を受ける前に外部機関による診断を受ける、不正なリクエストを検知・遮断するソリューションを導入する等、各種対策をとって頂ければ幸いです。