知って得するセキュリティのはなし その170
カタログギフト会社のECサイトに不正アクセス…個人情報150,236件・カード情報28,700件流出か
1.このニュースをザックリ言うと
- 7月13日(日本時間)、カタログギフトを取り扱うハーモニック社より、同社ECサイトが不正アクセスを受け、個人情報およびクレジットカード情報が流出した可能性があると発表されました。
- 被害を受けたのは、2020年11月14日までに同サイトで商品購入または会員登録を行った最大150,236名分の個人情報(氏名・住所・電話番号・メールアドレス・性別・生年月日)および2020年11月14日~2021年11月11日に同サイトでカード決済を行った最大28,700名分のクレジットカード情報(名義・番号・有効期限・セキュリティコード)とされています。
- 2月8日に一部カード会社から流出の懸念について連絡を受け、カード決済を停止しており、第三者機関による調査の結果、不正アクセスによるペイメントアプリケーションの改ざんが行われたことが原因とされています。
2.執筆者からの所感等
- ECサイトからのカード情報漏洩は、Webサイトの注文ページ周り等を改ざんし、偽の決済ページへの誘導や、フォームに入力された内容の攻撃者への送信を行うよう改変する等により、セキュリティコードも含めたカード情報の奪取を行う手口が主流となっており、AUS便りでも度々取り上げています。
- 同社では、できる限りのセキュリティ対策を施していたものの、システムの比較的手薄な部分を狙われ、不正アクセスを許すこととなったとしていますが、サイトやシステム全体のセキュリティ強度は「最もセキュリティの弱い部分」次第であり、「蟻の一穴」の破れが致命的な損害をもたらすものと心得なければなりません。
- 独自にECサイトを立ち上げる場合には、Webアプリケーションやサーバーの脆弱性について確実に修正・対策を行い、攻撃者による侵入や改ざんの余地をなくすよう努めることが肝要であり、加えて攻撃の形跡・兆候を検知・遮断するためのIDS・IPSおよびWAFの設置、および情報の流出を食い止める出口対策についても検討することを強く推奨致します。