今回の解説ニュース

インシデント概要

今回のインシデントは、オンラインストアに会員登録のあった顧客の個人情報及び、使用されたクレジットカード情報が漏えいした可能性があるというものです。

インシデントの原因

原因として、当該サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスでペイメントアプリケーションの改ざんが行われたことが挙げられています。オンラインストア」を利用した顧客のクレジットカード情報の漏えい懸念について警視庁から連絡があり判明しました。

セキュリティ対策

当該サイトでのカード決済を停止し、オンラインストア自体を一時閉鎖しています。この時点で情報漏えいの可能性があったため、同社ホームページ及びメディアを通じて案内を行い、監督官庁である個人情報保護委員会に複数回報告済みで、警視庁にも発覚当初から連携しています。その後、同社で第三者調査機関によるフォレンジック調査を行っており、対象の顧客にメールまたは郵送で謝罪と案内を個別に連絡しています。

カード会社と連携し漏えいした可能性のあるカードの取引のモニタリングを継続して実施しており、顧客に対しても、カード利用明細に身に覚えのない項目があった場合はカード会社に問い合わせるよう呼びかけています。

再発防止策

再発防止策として、今後、調査結果を踏まえてシステムのセキュリティ対策と監視体制の強化を行い、再発防止を図るということです。

クレジットカード情報を安全に取り扱う方法

クレジットカード情報を安全に取り扱うためには、PCIDSSに準拠したセキュリティ対策を実施することが求められます。

PCIDSSとは

PCIDSSとは、Payment Card Industry Data Security Standardの略で、クレジットカード情報を取り扱う事業者が遵守すべきセキュリティ基準です。VISA、Mastercard、JCBなどの国際的な決済ブランド5社が共同で制定しており、クレジットカード会員の情報を安全に保護することを目的にしています。

PCIDSSのセキュリティ基準例（１）

例えば、PCIDSSでは、オンラインストアでカード番号の全桁ではなく、最初の6桁や最後の4桁など、必要最小限な部分のみに抑えることが求められています。また、カードの裏面に書かれたセキュリティコードを保存することも禁止しています。

PCIDSSのセキュリティ基準例（２）

その他にも、システムの脆弱性を定期的にスキャンして、脆弱性を解消する脆弱性管理や、システムへのアクセスを制限し、権限のない者のアクセスを防ぐアクセス制御などを行う必要があると定められています。

不正アクセスへ直ちに気が付く方法

オンラインストアで不正アクセスへ直ちに気が付く方法として、システムを監視することが挙げられます。

不正アクセスを検知する

まず、異常なアクセス頻度、不正なIPアドレスからのアクセス、普段アクセスしない時間帯のアクセスなど、不審なパターンが発生していないか、システムのログを監視します。認証エラーやシステムエラーの頻発、データベースへの不正なアクセス試行などのエラーログを監視することも、不正アクセスを検知することに役立ちます。

不正アクセスの兆候を捉える

セキュリティ対策のアラートを監視することで、不正アクセスの兆候を捉えることができる場合があります。今回のインシデントでは、ペイメントアプリケーションが改ざんされたことにより、クレジットカード情報が漏洩した可能性があるということなので、重要なファイルの改ざんを監視するセキュリティ対策を導入して、ログを監視することが求められます。