こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
マザーズ上場企業の株式会社メタップスペイメントが提供する収納代行システム「会費ペイ」「イベントペイ」を利用する団体から、不正アクセスによるサービス停止の発表が行われている。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】複数の団体で使われている、収納代行システムに不正アクセスの疑いがあり、現在も調査中ということです。ECサイトなどで外部の決済システムを利用する際にセキュリティで気を付けるべきポイントについて説明します。なお、この記事が出ている時点で状況が変わっている可能性がありますのでご了承ください。
今回のインシデントは、収納代行システムを利用する複数の団体から不正アクセスの疑いにより、1月末まで緊急メンテナンスや一部カード決済を停止することが発表されています。また、別の団体からは、収納代行システムで決済に使用されたクレジットカードにおいて、不正利用が疑われるケースが複数発生しているということです。
1月9日現在、収納代行システムを運用する企業からは、不正アクセスの懸念が発生したことについて公表されていません。しかし、収納代行システムを利用する団体から状況について間接的に発表されており、1月下旬まで調査を行い、その後、第三者機関、日本クレジット協会の指示に従い調査結果を公表するといういことです。
今回、サービスを利用している団体の発表によると、決済に使用したクレジットカードにおいて、不正利用が疑われるケースが複数発生したことで、不正アクセスに気が付いたようです。なお、繰り返しになりますが、インシデントについては現在調査中であり、現時点では不正利用とサービスの因果関係については不明ということです。
一般論として、決済システムへの不正アクセスはクレジットカード会社からの連絡を受けて気が付くことが多いようです。具体的なサイバー攻撃として、決済ページ自体が改ざんされてクレジットカード情報が窃取されるWebスキミングが挙げられます。
Webスキミングとは、ECサイトなどで入力されるクレジットカード情報を盗み取る攻撃手法です。ペイメントアプリケーションが改ざんされたり、決済ページに読み込まれる外部のプログラムが改ざんされたりして、保存されていないはずのクレジットカード情報が窃取されます。
Webスキミングの攻撃が行われる場合は、ECサイトでの決済自体は正常に行われながら、クレジットカード情報が攻撃者に窃取されることがあります。よって、ECサイトでは正しく注文が発生し、利用者には商品が届くことになるため、より発見が困難になっているのかもしれません。
他社サービスを利用する際にセキュリティで気を付けるべきポイントは、自社と同等のセキュリティ対策が行われているか確認することです。理由は、他社サービスを踏み台に自社のシステムへ侵入されるサプライチェーンリスクの可能性があるからです。
今回は決済システムに対して行われるWebスキミングと、サプライチェーンリスクについてお届けしました。サプライチェーンリスクの解消には全員参加のセキュリティが求められますので、悲しむ人を生まないためにも、インターネットに公開するサービスには適切なセキュリティ対策を忘れずに行いましょう。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ