不正アクセスの概要
2023年8月10日、認定NPO法人テラ・ルネッサンス(以下、同法人)は、公式WEBサイト(以下、同サイト)の脆弱性を突かれ、クレジットカードで寄付をした89名のユーザーのカード情報が漏洩した可能性があると発表しました。
不正アクセスの詳細と原因
不正アクセスの詳細
同社がクレジットカードでの寄附受付を同サイトで行っていたところ、2022年12月17日に寄贈者から「クレジットカード決済による申し込みができないと」の報告を受け内部調査を実施し、12月19日にカード決済を一時停止致しました。その後、調査結果として同サイトで12月16日から18日にカード決済を行った89名分のカード情報が漏えいしたとのこと。
不正アクセスの原因
第三者機関の調査結果によると、今回の被害はウェブサイトの脆弱性が突かれ、ペイメントアプリケーションが改ざんされていたことが判明しました。この改ざんにより、寄贈者が入力したカード情報が知られずに不正に利用された可能性があることが明らかになりました。
今回は不正アクセスの詳細にも記載していた「クレジットカード決済による申し込みができないと」との報告があったことから下記記事でご紹介していた「5.画面遷移型を狙って偽の決済画面を使って盗む」手法だったと想定されます。
今後の対応
テラ・ルネッサンスは39名を特定し、個別に注意喚起していますが、残りのユーザーについてはまだ特定できていません。なお、同法人は今後の再発防止のためにセキュリティ体制を強化するとしています。
まとめ「決済機能をつけたサイトは必ず予防対策を」
本件もペイメントアプリケーションの改ざんという手段でクレジットカード情報を盗まれた事例となります。今回は迅速にユーザーからの報告で迅速に見つかりましたが、もし発見が遅れるようなことがあれば被害はもっと大きくなっていました。決済機能を有したサイトを運営されている事業者は事業者の責任として必ず予防対策を実施することをお薦め致します。
secuasは毎日診断することでリスクが発生した時点で検知、通知が可能となりトラブルに発展する前に対策を実施できる本当の予防が実現出来ます。
まずは、自社のリスクを無料で診断してみてください。