ホーム > mixiニュース > IT・インターネット > IT総合 > オンラインショッピングの“安全策”が盲点に カード情報の漏えいが止まらない理由

オンラインショッピングの“安全策”が盲点に カード情報の漏えいが止まらない理由

1

2019年03月05日 07:12  ITmediaエンタープライズ

  • チェックする
  • つぶやく
  • 日記を書く

ITmediaエンタープライズ

写真「知らないうちに、自分のカードが勝手に使われていた……」という事態は避けたいですよね
「知らないうちに、自分のカードが勝手に使われていた……」という事態は避けたいですよね

 最近、情報漏えい事件の報道が後を絶ちません。もはや、大規模な漏えいの報道にすっかり慣れてしまった人も多いのではないでしょうか。例えば、2004年に大きな話題になったYahoo! BB顧客情報漏えい事件における漏えい件数は「約451万人」ですが、今となってはありがちな件数に見えてしまうかもしれませんね。



フォームジャッキング攻撃を受けたサイトの画面遷移(伊織ネットショップ「クレジットカード情報流出についてのお知らせ」から)



 一方で、情報漏えい事件で今や件数よりも重要なのが「漏えいした内容」です。例えば、パスワードリスト攻撃にそのまま使えてしまう、暗号化されていないままの“生パスワード”や、お金に直結するクレジットカード番号、さらにセキュリティコード(CVV)が漏えいしたとき、ユーザーである私たちは即座に行動する必要があります。何度も触れていますが、パスワード管理ソフトを導入するなど、オンラインアカウントのパスワード使い回しを防ぐ方法はぜひ検討してください。



●最良の情報漏えい対策とは「情報を持たないこと」のはずが……



 では、自分のクレジットカード情報を守るために、ユーザーにできる対策は他にあるのでしょうか。クレジットカード決済を行うECサイトのセキュリティレベルは、外から見ても分かりません。しかし、よくECサイトの情報漏えい事件がレポートとして上がってきたとき、「セキュリティコード」が漏えい項目に入っていることがあります。



 クレジットカードをはじめとするペイメントカード情報を取り扱う際のセキュリティ基準「PCI DSS」では、セキュリティコードをシステムで保存することを明確に禁止しています。しかし、そのセキュリティコードが漏えいしたということは「保存されていた」ということになるので、そのECサイトはセキュリティが分かっていない、と判断できるかもしれません。



 クレジットカード決済をインターネットで利用するには、多くのセキュリティ要件をクリアする必要があるため、「クレジットカード決済業務自体を外部委託する」という方法があります。その場合、クレジットカード番号を入力するページは、ECサイト外のドメインに転送され、決済情報を入力し決済したタイミングでECサイトに戻る、という挙動になります。これであれば、クレジットカード情報を扱う部分は決済のプロに任せられるので、中小規模企業や個人でも安心してECサイトが作れますね!



 ……というのは、実は数年前までのお話です。最近、そのような「決済は外部に任せる」というECサイトですら、クレジットカード番号やセキュリティコードを含む情報漏えい事件を起こしてしまっているのです。一体どういうことなのでしょうか?



●“保存していないはずの情報”が、なぜ漏えいしてしまうのか?



 情報漏えいに対する最大の防御策は「そもそも漏えいしては困るような情報を持たない」ことのはず。それなのに、持っていないはずの情報が漏れるとは、一体どういうことでしょうか。



 米国のセキュリティベンダー、シマンテックは、定期的に発行している「シマンテック インターネット セキュリティ脅威レポート第24号」の記者説明会で、2018年に増加した手法「フォームジャッキング」を取り上げました。



 フォームジャッキングとは、Webサイトの「入力フォーム」を改ざんすることで、入力した内容を奪取する攻撃手法です。同レポートでは、容易に金銭を奪取する方法としてフォームジャッキングがサイバー犯罪者に認知され、オンラインショッピングの利用が多い11月と12月に特に多く観測されたとしています。



 この状況は決して対岸の火事ではなく、日本国内においても多数の報告が上がっています。例えば、2018年10月にSOKAオンラインストアで発生した個人情報の不正取得では、調査の結果、下記の事象が確認されています。



 弊社が当該サイトの運営を委託しているトランスコスモス株式会社が契約しているサーバに対して、7月30日に不正ファイルを混入され、プログラムが改ざんされました。そのためお客様が商品を購入する際に、偽のカード決済画面に遷移する仕組みとなっており、カード情報を不正に取得された可能性があることが発覚しました。



 また、偽のカード決済画面にてカード情報を入力して送信ボタンを押すとエラーが表示され、本来の当該サイトの画面に転送されるという非常に巧妙な仕組みになっておりました。



 この攻撃がどう行われるのか、クレジットカードの決済を外部委託しているECサイトの一般的なプロセスから説明しましょう。ユーザーはECサイトにログインし、実際に購入する際に外部の決済事業者のページに遷移し、クレジットカード情報を入力します。ところが、今回はECサイト自体に侵入、改ざんが行われ、本来ならば決済事業者のページに遷移すべきところを「サイバー犯罪者が用意した偽のカード決済画面」に遷移する仕組みが用意されてしまったのです。



 また、「偽の画面に遷移した時点で、ユーザーが見破れる場合もあるのでは?」と思った方もいるかもしれませんが、この攻撃の怖さは、ユーザーにとって非常に見破りにくい点にあります。気付くのがどれほど難しいか、実際に起こった攻撃を例に見ていきましょう。



●「ユーザーが注意しよう」という対応の限界



 フォームジャッキングの巧妙さは、この手法で攻撃を受けてしまった伊織ネットショップの例を見るとよく分かります。



 攻撃者は、ユーザーに偽の画面でカード情報を入力させた後、何事もなかったかのように正規のサイトに遷移し、本来のクレジット決済画面を表示させます。ユーザーにとっては、エラー画面すら表示されず、結果的には正しく決済が行われるので、これだけで攻撃に気付くのは難しいでしょう。堅牢なクレジットカード決済事業者を狙うのではなく“ECサイトそのもの”を攻撃することで、まんまと攻撃に成功した事例といえます。



 さて、このような方法でサイバー攻撃を受けてしまった場合、ユーザーは後になって気付けるでしょうか? 上記のような事例では、一度サイバー犯罪者が用意したページに遷移するものの、そのドメインを見て“怪しい”と判断するのはまず無理でしょう。あるいは「カード決済が一度目はエラーだったけれど、二度目は正しくできた」というタイミングで気付けるかもしれませんが、その場合も既にカード番号はサイバー犯罪者の手に渡ってしまっているので、どうしようもない――という結論になってしまいます。



 そのため、PCI DSS準拠のためにクレジットカード決済部分を「外部委託した」という企業は、いま一度、自分自身のサイト(決済とは無関係の部分)を含め、脆弱(ぜいじゃく)性の検査を行ってもいいのではないでしょうか。そして伊織ネットショップなどの攻撃事例に目を通した上で、自社も同じ攻撃を受けるリスクがないかをチェックすべきかもしれません。



 ユーザーが気付けないような攻撃がある以上、サービス提供側がしっかりしなくてはなりません。フォームジャッキングが増えているという現状を踏まえ、ECサイトは改ざん対策やファイル変更管理など、セキュリティの基礎部分をもう一度見直してほしいと思います。


このニュースに関するつぶやき

  • 一番安全なのは、カードを使わないこと。
    • イイネ!1
    • コメント 0件

つぶやき一覧へ(1件)

あなたにおすすめ

ランキングIT・インターネット

前日のランキングへ

ニュース設定