セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 外部の決済システム利用におけるセキュリティのポイント

外部の決済システム利用におけるセキュリティのポイント

外部の決済システム利用におけるセキュリティのポイント
目次
  • 今回の解説ニュース
  • 不正アクセスに気付いたポイントはどこにある?
  • 他社サービスを糸口に自社のシステムが脅かされる可能性

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

メタップスペイメント「会費ペイ」で不正アクセス発生、サービス利用団体で決済を停止

マザーズ上場企業の株式会社メタップスペイメントが提供する収納代行システム「会費ペイ」「イベントペイ」を利用する団体から、不正アクセスによるサービス停止の発表が行われている。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

複数の団体で使われている、収納代行システムに不正アクセスの疑いがあり、現在も調査中ということです。ECサイトなどで外部の決済システムを利用する際にセキュリティで気を付けるべきポイントについて説明します。なお、この記事が出ている時点で状況が変わっている可能性がありますのでご了承ください

今回のインシデントは、収納代行システムを利用する複数の団体から不正アクセスの疑いにより、1月末まで緊急メンテナンスや一部カード決済を停止することが発表されています。また、別の団体からは、収納代行システムで決済に使用されたクレジットカードにおいて、不正利用が疑われるケースが複数発生しているということです。

1月9日現在、収納代行システムを運用する企業からは、不正アクセスの懸念が発生したことについて公表されていません。しかし、収納代行システムを利用する団体から状況について間接的に発表されており、1月下旬まで調査を行い、その後、第三者機関、日本クレジット協会の指示に従い調査結果を公表するといういことです。

不正アクセスに気付いたポイントはどこにある?

今回、サービスを利用している団体の発表によると、決済に使用したクレジットカードにおいて、不正利用が疑われるケースが複数発生したことで、不正アクセスに気が付いたようです。なお、繰り返しになりますが、インシデントについては現在調査中であり、現時点では不正利用とサービスの因果関係については不明ということです。

一般論として、決済システムへの不正アクセスはクレジットカード会社からの連絡を受けて気が付くことが多いようです。具体的なサイバー攻撃として、決済ページ自体が改ざんされてクレジットカード情報が窃取されるWebスキミングが挙げられます。

Webスキミングとは、ECサイトなどで入力されるクレジットカード情報を盗み取る攻撃手法です。ペイメントアプリケーションが改ざんされたり、決済ページに読み込まれる外部のプログラムが改ざんされたりして、保存されていないはずのクレジットカード情報が窃取されます。

Webスキミングの攻撃が行われる場合は、ECサイトでの決済自体は正常に行われながら、クレジットカード情報が攻撃者に窃取されることがあります。よって、ECサイトでは正しく注文が発生し、利用者には商品が届くことになるため、より発見が困難になっているのかもしれません。

他社サービスを糸口に自社のシステムが脅かされる可能性

他社サービスを利用する際にセキュリティで気を付けるべきポイントは、自社と同等のセキュリティ対策が行われているか確認することです。理由は、他社サービスを踏み台に自社のシステムへ侵入されるサプライチェーンリスクの可能性があるからです。

「繋がり」があるからこそのサプライチェーンリスク
サプライチェーンリスクとは、セキュリティ対策が十分ではない外部サービスや関連組織がサイバー攻撃の踏み台に利用される、サプライチェーン全体に潜在するリスクです。標的となる組織のセキュリティ対策が十分であっても、リスクが顕在化してしまう可能性があります。今回のインシデントについては現在調査中ということですが、仮に不正アクセスがあったとしても、原因が決済サービスにあるとは限りませんので、被害者保護の観点からも、1日も早い調査結果の公表が待たれます。
繋がりあるサービスへの脆弱性診断も有効
他社サービスのセキュリティ対策が十分であるか確認する方法の一つとして、サービスに対する脆弱性診断の実施状況を確認することが有効な場合があります。緊急度の高い脆弱性が修正済みであるかも合わせて確認しましょう。

今回は決済システムに対して行われるWebスキミングと、サプライチェーンリスクについてお届けしました。サプライチェーンリスクの解消には全員参加のセキュリティが求められますので、悲しむ人を生まないためにも、インターネットに公開するサービスには適切なセキュリティ対策を忘れずに行いましょう。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

Contact

お見積り・ご相談など、お気軽にご相談ください

ご相談・ご質問はこちら

お問い合わせ

お見積り依頼はこちら

お見積り依頼

資料請求はこちら

資料請求

お電話でのご相談はこちら
(平日10:00~18:00)

TEL.050-5532-3255
サイトTOPへ