セキュリティの
学び場

今回の解説ニュース

オンラインショップが不正アクセスにあい、クレジットカード情報などが漏洩してしまったということです。不正アクセスが判明する経緯や、情報漏洩の被害を最小限に抑える方法について説明します。

今回のインシデントは、オンラインショップを利用した顧客のカード情報と登録された個人情報等が漏えいした可能性があるというものです。原因として、当該サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスで不正ファイルの設置とファイルの改ざんが行われたことが挙げられています。

対応として、該当サーバのネットワークからの切り離しとサイトの閉鎖をしており、対象の顧客に、メール等で個別に連絡を行っています。また、監督官庁である個人情報保護委員会に報告を行っており、茨城県警察本部にも漏えい発覚以来随時情報共有を図っています。さらに、カード会社と連携し漏えいした可能性のあるカードの取引のモニタリングを継続して実施しており、顧客に対しても、カード利用明細に身に覚えのない項目があった場合はカード会社に問い合わせるよう呼びかけています。

再発防止策として、調査結果を踏まえてシステムのセキュリティ対策と監視体制の強化を行うということです。

不正アクセスが判明する経緯

不正アクセスが判明するセキュリティ調査の一つとして、ログの分析が挙げられます。

システムに保存された様々なログを調査した結果、不正アクセスが判明する場合があります。具体的には、サーバやネットワークに保存されたログを分析することで、不正なログイン試行に失敗したログや、通常は発生しないファイルへのアクセス、異常なネットワークトラフィックなどが発見される場合があります。また、アンチウイルスやEDR、ネットワークIDSなど、セキュリティ対策が生成したログを分析することで、エンドポイントやネットワーク上の不審な行動が発見される場合があります。セキュリティ対策では、これらのログをリアルタイムに分析して、不審な行動をアラートとして管理者に対して通知することも可能です。

情報漏洩の被害を最小限に抑える方法

保存する個人情報を最小限にすることで、被害を最小限に抑えることは可能です。ただし、入力した段階で情報漏洩が発生する場合があるので、注意が必要です。

オンラインショップなど、Webサイトに入力される情報を必要最小限にすることで、不正アクセスを受けた際の被害を最小限に抑えられることが期待できます。また、クレジットカード業界の情報セキュリティ基準であるPCIDSSでは、クレジットカード情報は、クレジットカード番号の下4桁など、一部の情報のみ保存することを許可しており、すべての情報を保存することは禁止しています。

ただし、個人情報が入力される段階で、情報漏洩が発生する場合があるので注意が必要です。具体的には、脆弱性がつかれることでシステムへ侵入され、Webサイトに入力された情報を攻撃者へ転送するようなプログラムが設置された場合、入力した段階で情報漏洩が発生してしまうことになります。