情報セキュリティの脅威はすぐそこに

カード情報の入力先、本物ですか?

最近に限った話ではありませんが、断続的にECサイト上からクレジットカード情報が流出したというニュースが話題になります。
直近では5月末に明らかになったヤマダ電機の通販サイトでのカード情報流出のニュースです。
最大で約37,000件の「カード番号・有効期限・セキュリティコード」が流出したと公表されており、件数もさることながらカード情報がフルセットで流出したということで大きな波紋を呼んでいます。





セキュリティコードまで流出し、さらに不正利用の形跡まであるという点や、ヤマダ電機の知名度もあって一般のニュースでも取り上げられる事態になりましたが、「本来保存が禁止されているセキュリティコードを保存していたのか」という風評まで広がってしまっているというのは、ややヤマダ電機に対する同情を禁じえません。

かつてカード情報漏えいの典型的な手口はSQLインジェクションなどでしたが、ここ数年は決済アプリケーションのフォームを改ざんするという手口が多くなってきているようです。
これはPCI DSSや関連する法令の広まりによってカード情報の非保持化が進んだため、対象のサイトから直接カード情報を詐取できる見込みが薄くなったためと思われます。これに代わって、対象サイトのアプリケーションや決済情報の入力フォームを改ざんし、ユーザがカード情報を入力した際に犯人の元に情報を送信させるという手口が流行ってきたということと考えられます。

犯人側からしてみると、一度に大量のカード情報を入手することが難しくなってはいるものの、改ざんが発覚するまでの間は自動的に情報を入手し続けられることになるため、サイト側がカード情報非保持状態であっても目的を達成できるということになるわけです。
ましてやこの方法であれば従来から非保持が原則とされていたセキュリティコードまで入手できることになるため、結果的により効率が良いということになるのかもしれません。
それぞれの事件で具体的な攻撃手法までは明らかにはなっていませんが、間に偽の入力ページを挟んだり、入力情報を別の犯人のサイトにもポストするようなJavaScriptなどを仕込んだりという方法が採られているのではないかと思われます。

特にカード情報が扱われるサイトの管理者は攻撃の流行や事件の発生を踏まえてより注意を向けなければなりません。
そもそも改ざんをされないように従来のようなSQLインジェクションなどの脆弱性に気を配るのはもちろん、「今どきなやり方」でWAFや改ざん検知の仕組みを導入することも有効ですが、サイトを管理する画面へのアクセス権限について意外と忘れられがちです。
管理画面のURLやIDが簡単に推測できてしまったり、パスワードが脆弱なことにより、そもそもアクセス権を正面突破で奪取されてページの改ざんがある意味正規の方法で可能になってしまうという事例はよく耳にします。
このような重要なアクセス権については、ログイン可能なIPアドレスを制限する、多要素認証をかける、ログイン試行の回数を絞る、ログイン時に通知が行われるようにするなど、リスクを下げるもしくは不正アクセスの予兆を検知する方法はいくらでも考えられます。
一方、一般のユーザ側からするとそのECサイトの決済画面が本物か、不必要な場所に情報が送信されるようになっていないかを見極めることは困難かもしれません。むしろこのような対策をきちんと行っているというECサイトの信頼から、利用するサイトを選んでいくことくらいしかできないのかもしれません。
翻ってサイトを運営する側から見れば、そういう点の対応や姿勢も含めてサイトや企業の信頼性を醸成していくということがトータルで考えた時にプラスに作用していくのは言うまでもありません。