知って得するセキュリティのはなし その245
XSS攻撃で決済フォーム改ざんか…約5,200件の個人情報・クレカ情報流出
1.このニュースをざっくり言うと
- 1月31日(日本時間)、株式会社ファインエイドより、同社が運営する「健康いきいきライフスタイル」のWebサイトが外部から攻撃を受け、一部利用者のクレジットカード情報を含む個人情報が流出した可能性があると発表されました。
- 被害を受けたとされるのは、2021年1月5日~2023年11月15日に同サイトを利用した利用者5,193人分の個人情報(氏名・住所・メールアドレス・電話番号・FAX番号・注文履歴・生年月日・性別)およびクレジットカード情報(名義人名・カード番号・有効期限・セキュリティコード)とされています。
- 2023年12月11日にカード会社からの連絡を受けて同12日にカード決済を停止、第三者機関による調査の結果、同26日に流出の可能性が確認されたとしています。
2.執筆者からの所感等
- 流出の原因としては、サイトのシステムに存在していたクロスサイトスクリプティング(XSS)の脆弱性を悪用され、決済のためのアプリケーションが改ざんされたためとしています。
- XSSによる攻撃はサイトへの訪問者に対して行うパターンだけでなく、管理画面に出力される登録情報・注文内容およびログ等に不正な文字列を仕込むことにより、閲覧した管理者の権限で不正なスクリプトを実行させるパターンもあり、2021年4月には国内ECサイトで実際にこのパターンの攻撃による管理者アカウント情報・カード情報等の奪取を狙った攻撃が確認され、JPCERT/CC等から注意喚起が出されています。
- 今回のケースで行われたXSS攻撃の詳細な情報は出ていませんが、不特定多数がアクセスする表側はもちろん、管理画面においても各種情報の出力を安全に行うようWebアプリケーション上での根本的な対策は不可欠です
