2018年6月の改正法制に合わせ、インターネット上の販売業者はクレジットカード情報の非保管化に対応しました。「自身のサイトではカード情報を持っていない」という前提ながら、2019年以降も、多種多様なケースでクレジットカード情報やセキュリティコードの漏えい事件があとを絶ちません。2023年8月時点でも既に多くの企業からクレジットカード情報の漏えい事件として報道されています。
この記事ではEC事業者の皆様が抱えるリスクである「カード情報の漏えいの原因」について詳細をお伝えしたいと思います。
目次
カード情報漏えいの5つの手口
今回は、通信販売サイトからクレジットカード情報を抜き取るための手口を、代表的な5つに分けご紹介していきます。
1.SQLインジェクション
これはアプリケーションの欠陥を利用してデータベースを不正に操作する攻撃手法で、データベースに保管されたカード情報などの個人情報を盗むもの。2000年代後半から広く使われており、有名なサイトが改ざんされるケースも頻繁に報告されています。条件は、SQLインジェクションの脆弱性が存在し、データベースにカード情報が保存されていることですが、現在においては非保持化が主流となりデータベースにカード情報を保存することが少なくなっていますがたまに事例として報告されています。
2.バックドア(隠れた入口)の作成しログファイルを狙う
この手口は、ログファイルにカード情報が記録されているサイトにバックドアプログラムを作成し、ログをダウンロードしてしまうものです。カード情報の非保管化が進んでいるものの、過去のログが残っている例も稀に見受けられこの方法によって漏えいしてしまう可能性があります。2016年12月に、化粧品製造会社シセイドウの子会社であるイプサが個人情報を漏えいしてしまいました。このサイトは、開設当初のテスト段階のまま運用されており、決済処理のログが残っていたことが、カード情報流出の原因となっているようです。
3.バックドアを作成し、データベースからカード情報を盗む
2.で紹介した手法とに類似していますがバックドアプログラムが作成され、その後「Adminer」などのデータベース管理ソフトウェアが設置され、データベースからカード情報を探して盗んでいきます。
4.ユーザーがカード情報を入力中にその情報を盗む
通販サイトにおけるカード支払いでは、カード情報が販売店側のサーバーを通らない「非通過型」が推奨されています。支払い代行業者は対策として、「画面遷移型」(通販サイトから支払い代行会社の支払い画面へ移行する)と、「トークン型」(JavaScriptを組み込み、カード情報をビジネス者のサーバー経由せずに支払い代行側で処理する)の2つのオプションを提供しています。この手口は後者のトークン型を狙っています。
攻撃者はカード情報入力画面が改ざん可能な弱点がある通販サイトに対し、悪質なJavaScriptを設置します。この状態の入力フォームでユーザーがカード情報を入力し、「確認」ボタンを押すと、その入力データは外部のサーバーへと送信されてしまいます。その一方で、カード情報は支払い代行業者へも送られ、注文処理は正常に進行するため、事件が明るみに出にくいという特徴があります。
5.画面遷移型を狙って偽の決済画面を使って盗む
最初に報告された例は、18年9月に発覚した聖教新聞社の通販サイト、SOKAオンラインストアからの情報流出事件だとされています。
偽の決済画面を作り、注文ページからそこに遷移させていた可能性が高いと考えられます。偽ページでカード情報を入力すると、その情報は攻撃者に渡るが、4.の手口と異なり、決済は正常に完了しません。そのため、ここで「決済エラー」の画面が表示され、その後に正規の入力フォームに転送され、再入力を求められます。一度決済エラーが生じても、「カード番号の入力ミスかな」という感じ方が一般的だと考えられますので、ユーザーから疑念を抱かれることは少なくバレにくい手口と考えられています。
非保持化でも情報流出する理由
上記でご紹介した手口ではカード情報を盗むにあたり大きく2つの考え方があります。
・カード情報を保持しているデータベースを狙う
1.SQLインジェクション
2.バックドア(隠れた入口)の作成しログファイルを狙う
3.バックドアを作成し、データベースからカード情報を盗む
・決済時の情報を狙う
4.ユーザーがカード情報を入力中にその情報を盗む
5.画面遷移型を狙って偽の決済画面を使って盗む
冒頭にも書きましたが2018年6月の改正法制に合わせ、多くのインターネット上の販売業者はクレジットカード情報の非保管化に対応していますのでカード情報をデータベースで保持している販売業者は少なくなっています。しかし、攻撃者は常に新しい手口を考えあなたのサイトのカード情報を狙ってきます。
ご紹介した1から3の手法より現在は「ペイメントアプリケーションの改ざん」と言われる4から5の手法が主流となってきています。
最新のペイメントアプリケーション改ざんの事例
カード情報窃取に4.の手口を使った最初の例としては、13年3月に発覚したJIN(旧ジェイアイエヌ)の「JINSオンラインショップ」の不正アクセス事件がありました。この事件では、Apache Struts2の脆弱性を利用し、通販サイトの購入画面でカード情報を入力した顧客情報がそのまま外部のデータベースサーバーに送信されていました。
不正アクセス(JINSオンラインショップ)に関する調査結果(最終報告)
また、直近では2023年3月にソースネクスト株式会社がクレジットカード情報112,132件が漏えいしたと発表されています。
ペイメントアプリケーション改ざん5つの対策
ペイメントアプリケーションの改ざんは、お客様の信頼を毀損するだけでなく、法的責任を問われる可能性さえもあります。例えば、クレジットカード情報が盗まれ、それが不正な取引に利用された場合、企業は大きな責任を負うことになるでしょう。また、データ漏洩は収益損失、ブランドイメージのダメージ、PR上の費用など、間接的な経済的損失を引き起こします。さらに、改ざんが発覚した途端、顧客は安心して商品を購入することができず、再販売が困難になることでしょう。
実際にカード情報が盗まれるとどの様な損害を被るかの詳細は下記記事に記載しておりますのでぜひ参考にしてください。
このようなリスクから企業を守るために、ぜひ下記の対策を実施してください。
1.二段階認証の導入
アカウントのセキュリティを強化するために、二段階認証(2FA)を導入することを検討してください。これは、ユーザーがログインするためにパスワードだけでなく、電話番号や電子メールに送信される一時的なコードなど、第二の認証要素を必要とするシステムです。
2.定期的なシステム更新・パッチ適用
既知のセキュリティ問題を修正するために、システムのソフトウェアを定期的に更新することは非常に重要です。また、ソフトウェアのセキュリティパッチを定期的に適用することも重要です。
3.教育と認識の強化
社内全体での改ざん防止教育を行い、セキュリティに対する認識を高めることも重要です。従業員一人ひとりがセキュリティ意識を持つことで、不正アクセスや情報漏洩リスクを減らすことができます。
4.セキュリティサービスの導入
ペイメントアプリケーションの改ざんを防ぐための最も基本的な方法は、信頼できるセキュリティサービスを導入し、常に最新の状態に保つことです。ウイルスやマルウェアからシステムを保護することができます。
5.定期的なセキュリティ監査
システムの脆弱性を検出し予防策を講じるために、定期的なセキュリティ監査を行うことも有効です。侵入テストやソースコードのレビューを行い、潜在的な問題を解明しましょう。
まとめ 「セキュリティサービスの導入と定期的なセキュリティ監査を実施」
日本の通販事業者では、小規模なビジネスのサイトからのデータ漏洩が増えてきております。一般的に、これらのショッピングサイトは、安価で自由度の高いオープンソースパッケージ『EC-CUBE』を使用して構築されていることが多いと聞きます。
EC-CUBE自体が脆弱性を抱えている訳ではありません。むしろ、限られた予算とセキュリティに詳しい人間の支援を得られない中小規模のビジネスがEC-CUBEを利用してサイトを構築するため、セキュリティの隙間が生じやすいという点です。
実際に、攻撃者たちはこの現状を見抜いて軽視されたセキュリティ環境を狙って攻撃を仕掛けている、と考えられます。従って、全ての事業者は、お客様のために満足な予算や専門知識がなくてもセキュリティ強化に取り組む必要があります。
まずは、月1万円から実施出来るセキュリティ監査サービス「secuas(セキュアズ)」の無料診断で自社のECサイトに改ざんのリスクが無いか確認してみてください。
