こちらのnoteは、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字起こししご紹介しています。
東証1部上場企業の株式会社キャンディルの子会社である株式会社キャンディルデザインは7月20日、同社が運営する補修材専門店「ECサイトプロショップ匠」に第三者からの不正アクセスがあり、顧客のクレジットカード情報が流出した可能性が判明したと発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】ECサイトに不正アクセスがあり、顧客のクレジットカード情報が流出してしまった可能性があるということです。ECサイトの運営者と利用者がセキュリティで気を付けるべきポイントについて説明します。
今回のインシデントは、一部のクレジットカード会社からECサイトを利用した顧客のカード情報が流出した懸念があるとの連絡があり、第三者調査機関による調査を行ったところ、脆弱性を突いた第三者の不正アクセスにより、ペイメントアプリケーションが改ざんされてカード情報が流出した可能性があるということです。
流出した可能性があるのは、2018年7月3日から2021年1月26日の期間中にECサイトでクレジットカード決済を利用した顧客3,357名分のセキュリティコードを含むカード情報ということです。長期間にわたって被害が発生していることから、顧客に対してカードの利用明細に身に覚えのない請求項目がないか確認するよう広く注意が呼びかけられています。
ECサイトの改ざんについて、気が付くことができる場合とできない場合があります。今回のインシデントについて詳細は公開されていませんので、あくまでも一般論として説明します。
ECサイトの脆弱性を突いてクレジットカード情報を窃取する「Webスキミング」の被害が多く発生しています。Webスキミングとは、ECサイトの決済画面などに不正なコードを挿入して、ユーザがECサイトへ入力した情報を窃取する攻撃です。磁気情報を盗み取るスキミングのWeb版として、ECサイトに入力されたクレジットカード情報などを攻撃者へ転送することでスキミングを行います。
まず、ECサイトが直接改ざんされた場合に気が付くことは可能です。ECサイトの改ざんを未然に防ぐために、脆弱性の修正やWAFによる防御、コンテンツの改ざん防止や検知など、様々なセキュリティ対策が考えられます。また、ログが適切に監視されていれば、早期の検知や対応をすることができるかもしれません。これらについては一般的なセキュリティ対策となりますので、今回は割愛します。
問題になるのが、ECサイトが直接改ざんされずに、Webスキミングが行われる場合です。それは、ECサイトで外部のJavaScriptなどを読み込んでいた場合に発生する可能性があります。どういうことかというと、ECサイトが読み込むJavaScriptが保存されている外部のサーバが改ざんされて、JavaScriptが不正なコードに置き換えられることで、Webスキミングが発生してしまう場合があります。ECサイト自体は改ざんされていないので、WAFやログを監視していても検知することは困難です。過去には海外の大手航空会社やチケット販売会社などが同様の攻撃を受けて、カード情報が流出してしまったインシデントが発生しています。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
