知って得するセキュリティのはなし その136
バイク用品通販サイトからクレジットカード情報流出か…3Dセキュアパスワードも奪取
1.このニュースをザックリ言うと
- 10月27日(日本時間)、バイク用品等を取り扱うタナックス社より、同社通販サイト「TANAXオンラインショップ」が不正アクセスを受け、クレジットカード情報含む個人情報が流出した可能性があると発表されました。
- 被害を受けたとされるのは、2020年12月7日~2021年1月7日に同サイトでクレジットカード決済を行った26名分の氏名・住所・電話番号・メールアドレスおよびカード情報で、カード情報についてはカード番号・名義人・有効期限・セキュリティコードの他、3Dセキュアのパスワードも流出し、一部不正利用も確認されているとのことです。
- 1月7日に流出の懸念について連絡を受け、同15日に決済を停止しており、第三者機関による調査の結果、不正アクセスによるペイメントアプリケーションの改ざんが行われたことが原因とされています。
2.執筆者からの所感等
- 今日におけるECサイトからのカード情報流出の事例は「カード情報の入力フォームを改ざんし、入力されたカード情報を奪取する」ものが主流となっており、例えば不正なJavaScriptの挿入により、入力内容が外部に送信される等の手口がとられます。
- 本来の決済手順(カード情報の入力をECサイト上のフォームで行うか・外部サイトに遷移するか等)やカード情報の保存方法(どこでどう保存するか、等)に拘わらず、不正アクセスによる改ざんが発生してしまえば、攻撃者が用意した任意の手順に基づいてカード情報等を入力するよう仕向けられることになるため、脆弱性を突かれることのないよう、ECサイト構築で使用しているものを含めサーバー上の各種ソフトウェアは常に最新のバージョンに保ち、WebアプリケーションにSQLインジェクション等の脆弱性があれば確実に対策し、かつ不正なリクエストを検知・遮断するWAFやIDS・IPS等のソリューションの導入も含めたサイトの防御を行うことが重要となります。
- 今回は偽の3Dセキュア入力画面へ誘導するよう改ざんを行ったとみられますが、現状本物の3Dセキュア入力画面であってもドメイン名から信頼のおけるサイトか推測しにくいケースが多くみられており、クレジットカード業界側においても、3Dセキュア入力画面等をクレジットカード会社のドメイン下で用意することを必須とするといった、これまで着手していない取り組みに踏み込むべきと考えます。