同社は、薬局への医薬品の卸売りのほか、運営するショッピングサイト「eキレイネット」でコラーゲンやヒアルロン酸などの美容関連製品を販売している。流出した疑いがあるのは、平成26年10月8日~27年11月5日、サイトでカードを使って商品を購入した顧客の氏名や住所、クレジットカードなどの情報だった。この間、1955人が利用していた。これに対して、以下のブックマークコメントがつきました。
名の売れた大企業ではない。従業員わずか10人の小さな会社がサイバー攻撃の標的になったのだ。
問題が発覚したのは昨年11月。決済代行会社からカード情報が流出した疑いがあると指摘があった。
従業員10人なのに「標的」に サイバー攻撃、中小企業が狙われる理由より引用
そもそも、決済代行会社を使っているのになぜカード情報が漏れる?普通は自分たちの側には一切カード情報を残さないものだが。getで送るとうっかりアクセスログに残る、とかの例はあるけど。実は2013年以降、決済代行会社を使っているのにカード情報が漏洩する事件が続いています。その場合の漏洩経路には以下の二種類が知られています。
はてなブックマークより引用
- 決済代行を使っているのに、カード情報を自社サイトでも保存していた
- カード情報の入力フォームを改ざんされ、別サイトにカード情報を転送された
しかし、実際の事件を調べてみると、多いのは後者の経路です。このパターンとして最初の、そしてもっとも有名な事例は、JINSオンラインショップからのカード情報漏洩でしょう。
ジェイアイエヌでは、クレジット情報漏えいの専門調査機関であるPayment Card Forensics株式会社(PCN)に調査を依頼。4月8日に受領した報告書によれば、3月6日にサーバーにバックドアプログラムが設置され、第三者のデータベースにカード情報が転送されるようにアプリケーションのプログラムが改ざんされていたことが判明した。
JINS、不正アクセスによるカード情報流出は最大2059人、当初発表下回るより引用
セキュリティコードをはじめクレジットカード情報は、弊社では保管しておりません。入力フォームが改ざんされて、入力内容が外部に送信されるような仕掛けが組み込まれたということですね。恐らく、JavaScriptが追加されて、フォームの入力内容を外部に送信するように、Webビーコンのように動的にIMGタグを生成するとか、XMLHttpRequestオブジェクトによりフォームの内容を送信する仕組みが組み込まれたのでしょうね。
保管していない情報が流出した理由につきましては、オンラインショップの支払方法入力画面に改ざんが加えられ、入力したクレジットカード情報が不正に外部のサーバに送信されるよう改ざんされたためであります。
よくあるご質問 | JINS - 眼鏡(メガネ・めがね)より引用
では、JINSオンラインショップの事件以降、同種の事件がどの程度発生しているかを調べてみたところ、以下の様に継続的に、フォーム改ざんが攻撃経路と思われるカード情報漏洩事件が発生しています。
| サイト名 | 漏洩期間 | 漏洩件数 | セキュリティコード | 決済代行 |
|---|---|---|---|---|
| JINS オンラインショップ | 2013/3/6~2013/3/14 | 2,059 | 漏洩 | 使用 |
| 光文社が運営する3サイト | 2013/12/29~2014/1/21 | 1,160 | 漏洩 | |
| ホビーショップタム・タム | 2014/5/3~2014/6/20 | 923 | 漏洩 | 使用 |
| eキレイネット | 2014/10/8~2015/11/5 | 不明 | 漏洩 | 使用 |
| ONYONEベースボールギア | 2014/11/1~2015/2/27 | 72 | 漏洩 | 使用 |
| 中村屋 | 2014/11/8~2014/12/24 | 1,422 | 漏洩 | |
| エアコンの森Plus | 2015/1/1~2015/7/1 | 712 | 使用 | |
| プリマージュオンラインショップ | 2015/4/1~2015/7/22 | 563 | 漏洩 | 使用 |
| DiXiM Store | 2015/8/1~2015/9/11 | 480 | 漏洩 | 使用 |
| ブルーラグオンラインストア | 2015/8/1~2015/8/16 | 45 | 使用 | |
| シネマイクスピアリ | 2015/10/17~2015/10/30 | 1,414 | 漏洩 | 使用 |
| 日本オッターボックス | 2015/5/19~2016/3/2 | 397 | 漏洩 | 使用 |
| THE KISS ONLINE SHOP | 2016/1/16~2016/3/2 | 537 | 漏洩 | 使用 |
| 「カミチャニスタ」ウェブサイト | 2016/1/25~2016/3/2 | 744 | 漏洩 | 使用 |
| vivid golf | 2016/1/25から2016/3/11 | 616 | 漏洩 | 使用 |
| NETSEA(*1) | 2016/1/1から2016/4/15 | 7,386 | 漏洩 | 使用 |
| 軒先パーキング | 2015/5/8~2016/7/27 | 38,201 | 漏洩 | 使用 |
*1 NETSEAの情報漏えいは、改ざんによるものではなくHeartBleed脆弱性によるもの(報道)
※ 2016年4月12日:2件(THE KISS ONLINE SHOP、カミチャニスタ)追記
※ 2016年4月27日:1件(vivid golf)追記
※ 2016年4月28日:2件(日本オッターボックス、NETSEA)追記
※ 2016年8月27日:1件(軒先パーキング)追記
特徴としては、下記の三点です。
- 漏洩の対象が特定期間に取引した利用者に限られ漏洩件数は比較的少ない
- セキュリティコードが漏洩するケースが多い
- 決済代行を利用していても漏洩に至っている(決済代行業者に落ち度はない)
対策としては、JINSオンラインショップの下記が参考になります。
・画面遷移型のクレジットカード情報非保持サービスの採用ちょっと上記だけだとわかりにくいですが、決済代行サービスには大別して、データ伝送(API)型と画面遷移型があり、JINSオンラインショップは元々データ伝送型を採用していたが、画面遷移型に切り替えるということですね。これですと、クレジットカード情報の入力フォームは決済代行業者が提供するものになり、ECサイト事業者は関与を切り離すことができます。リスクの移転というやつですね。
このサービスを採用することにより、オンラインショップの購入画面で決済方法としてクレジットカード決済を選択した場合に、決済代行会社が管理するウェブサイトへ画面が遷移することで、購入者のクレジットカード情報が当社サーバ等のシステムを一切通過しないこととなり、当社システムからの情報漏えいの可能性が排除されることとなります。
なお、上記再発防止策に対しては、本調査委員会より、非常に高い情報セキュリティレベルが実現可能であり、セキュアなクレジット決済を行うことが可能になる施策であると評価されております。
不正アクセス(JINSオンラインショップ)に関する調査結果(最終報告)より引用
また、一般的な脆弱性管理やWAFの導入などに加えて、改ざん検知システムの導入も有効です。Webページの改ざんは、中々人手では検知が難しく、上記に紹介したサイトの事例でも、大半がカード事業者か決済代行業者からの連絡で事件が発覚しています。改ざん検知システムによりページ改ざんをすばやく検知できれば、被害を小さくできることが期待されます。
【HASHコンサルティング広告】
HASHコンサルティング株式会社は、ウェブサイトの保護に関心のあるセキュリティエンジニアを募集しています。
興味のある方は、twitterやfacebookのメッセージ、あるいは問い合わせページからお問い合わせください。
0 件のコメント:
コメントを投稿