2016年3月14日月曜日

決済代行を使っていてもクレジットカード情報が漏洩するフォーム改ざんに注意

先日以下の記事が公開されました。決済代行会社を使っていたのにカード情報が漏洩したというものです。
同社は、薬局への医薬品の卸売りのほか、運営するショッピングサイト「eキレイネット」でコラーゲンやヒアルロン酸などの美容関連製品を販売している。流出した疑いがあるのは、平成26年10月8日~27年11月5日、サイトでカードを使って商品を購入した顧客の氏名や住所、クレジットカードなどの情報だった。この間、1955人が利用していた。
 名の売れた大企業ではない。従業員わずか10人の小さな会社がサイバー攻撃の標的になったのだ。
 問題が発覚したのは昨年11月。決済代行会社からカード情報が流出した疑いがあると指摘があった。
従業員10人なのに「標的」に サイバー攻撃、中小企業が狙われる理由より引用
これに対して、以下のブックマークコメントがつきました。
そもそも、決済代行会社を使っているのになぜカード情報が漏れる?普通は自分たちの側には一切カード情報を残さないものだが。getで送るとうっかりアクセスログに残る、とかの例はあるけど。
はてなブックマークより引用
実は2013年以降、決済代行会社を使っているのにカード情報が漏洩する事件が続いています。その場合の漏洩経路には以下の二種類が知られています。
  • 決済代行を使っているのに、カード情報を自社サイトでも保存していた
  • カード情報の入力フォームを改ざんされ、別サイトにカード情報を転送された
前者の例としては、以下の記事で紹介しました。
しかし、実際の事件を調べてみると、多いのは後者の経路です。このパターンとして最初の、そしてもっとも有名な事例は、JINSオンラインショップからのカード情報漏洩でしょう。
ジェイアイエヌでは、クレジット情報漏えいの専門調査機関であるPayment Card Forensics株式会社(PCN)に調査を依頼。4月8日に受領した報告書によれば、3月6日にサーバーにバックドアプログラムが設置され、第三者のデータベースにカード情報が転送されるようにアプリケーションのプログラムが改ざんされていたことが判明した。
JINS、不正アクセスによるカード情報流出は最大2059人、当初発表下回るより引用
セキュリティコードをはじめクレジットカード情報は、弊社では保管しておりません。
保管していない情報が流出した理由につきましては、オンラインショップの支払方法入力画面に改ざんが加えられ、入力したクレジットカード情報が不正に外部のサーバに送信されるよう改ざんされたためであります。
よくあるご質問 | JINS - 眼鏡(メガネ・めがね)より引用
入力フォームが改ざんされて、入力内容が外部に送信されるような仕掛けが組み込まれたということですね。恐らく、JavaScriptが追加されて、フォームの入力内容を外部に送信するように、Webビーコンのように動的にIMGタグを生成するとか、XMLHttpRequestオブジェクトによりフォームの内容を送信する仕組みが組み込まれたのでしょうね。

では、JINSオンラインショップの事件以降、同種の事件がどの程度発生しているかを調べてみたところ、以下の様に継続的に、フォーム改ざんが攻撃経路と思われるカード情報漏洩事件が発生しています。

サイト名漏洩期間漏洩件数セキュリティコード決済代行
JINS オンラインショップ2013/3/6~2013/3/142,059漏洩使用
光文社が運営する3サイト2013/12/29~2014/1/211,160漏洩
ホビーショップタム・タム2014/5/3~2014/6/20923漏洩使用
eキレイネット2014/10/8~2015/11/5不明漏洩使用
ONYONEベースボールギア2014/11/1~2015/2/2772漏洩使用
中村屋2014/11/8~2014/12/241,422漏洩
エアコンの森Plus2015/1/1~2015/7/1712 使用
プリマージュオンラインショップ2015/4/1~2015/7/22563漏洩使用
DiXiM Store2015/8/1~2015/9/11480漏洩使用
ブルーラグオンラインストア2015/8/1~2015/8/1645 使用
シネマイクスピアリ2015/10/17~2015/10/301,414漏洩使用
日本オッターボックス2015/5/19~2016/3/2397漏洩使用
THE KISS ONLINE SHOP2016/1/16~2016/3/2537漏洩使用
「カミチャニスタ」ウェブサイト2016/1/25~2016/3/2744漏洩使用
vivid golf2016/1/25から2016/3/11616漏洩使用
NETSEA(*1)2016/1/1から2016/4/157,386漏洩使用
軒先パーキング2015/5/8~2016/7/2738,201漏洩使用

*1 NETSEAの情報漏えいは、改ざんによるものではなくHeartBleed脆弱性によるもの(報道
※ 2016年4月12日:2件(THE KISS ONLINE SHOP、カミチャニスタ)追記
※ 2016年4月27日:1件(vivid golf)追記
※ 2016年4月28日:2件(日本オッターボックス、NETSEA)追記
※ 2016年8月27日:1件(軒先パーキング)追記

特徴としては、下記の三点です。
  • 漏洩の対象が特定期間に取引した利用者に限られ漏洩件数は比較的少ない
  • セキュリティコードが漏洩するケースが多い
  • 決済代行を利用していても漏洩に至っている(決済代行業者に落ち度はない)
ということで、決済代行を使っているからカード情報は漏れないと油断していると危険です。
対策としては、JINSオンラインショップの下記が参考になります。
画面遷移型のクレジットカード情報非保持サービスの採用
このサービスを採用することにより、オンラインショップの購入画面で決済方法としてクレジットカード決済を選択した場合に、決済代行会社が管理するウェブサイトへ画面が遷移することで、購入者のクレジットカード情報が当社サーバ等のシステムを一切通過しないこととなり、当社システムからの情報漏えいの可能性が排除されることとなります。
なお、上記再発防止策に対しては、本調査委員会より、非常に高い情報セキュリティレベルが実現可能であり、セキュアなクレジット決済を行うことが可能になる施策であると評価されております。
不正アクセス(JINSオンラインショップ)に関する調査結果(最終報告)より引用
ちょっと上記だけだとわかりにくいですが、決済代行サービスには大別して、データ伝送(API)型と画面遷移型があり、JINSオンラインショップは元々データ伝送型を採用していたが、画面遷移型に切り替えるということですね。これですと、クレジットカード情報の入力フォームは決済代行業者が提供するものになり、ECサイト事業者は関与を切り離すことができます。リスクの移転というやつですね。

また、一般的な脆弱性管理やWAFの導入などに加えて、改ざん検知システムの導入も有効です。Webページの改ざんは、中々人手では検知が難しく、上記に紹介したサイトの事例でも、大半がカード事業者か決済代行業者からの連絡で事件が発覚しています。改ざん検知システムによりページ改ざんをすばやく検知できれば、被害を小さくできることが期待されます。


【HASHコンサルティング広告】
HASHコンサルティング株式会社は、ウェブサイトの保護に関心のあるセキュリティエンジニアを募集しています。
興味のある方は、twitterfacebookのメッセージ、あるいは問い合わせページからお問い合わせください。

0 件のコメント:

コメントを投稿