Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

カード情報非保持はゴールではない

カード情報非保持のECサイトからまたカード情報が漏えいしました。

www.security-next.com

 

 

銀座ウエストオンライン通販サイト不正アクセスにより改ざんされクレジットカード情報を詐取する偽ページがサイト内に設置されていたことがわかった。一部顧客の情報が詐取された可能性がある。

 

攻撃者によって同サイト内にクレジットカードをだまし取る偽の決済ページが設置され、クレジットカードによる支払いを希望すると、同フィッシングページへ誘導される状態だったという。

(Security Next記事より引用)

 

■公式発表 

「オンライン通販サイト」における不正アクセスによるお客様情報流出に関するお詫びとお知らせ 

 

◆キタきつねの所感

クレジットカード情報漏えい事件の場合、事件の影響度はカード番号等と一緒に『セキュリティコード』が漏えいしているかどうかで違ってきます。1年間程度のスパンで国内の漏えい事件を見てみると、ここ数年、事件数ベースでみると40%~50%がセキュリティコードまで漏えいしています

今回の事件は、残念な事にセキュリティコードまで漏えいしています。9月以降に報道された事件の多くは、同じ攻撃パターンです。セキュリティインシデントは調査に数か月要する事も多いので、その兆候は夏前から出ていたと推測されます。

その代表例が、国内だと9月のSOKAオンラインだと思います。

foxsecurity.hatenablog.com

 

海外では非保持という玉虫色なガイドラインはないので、PCI DSSを攻められたという意味では、8月のBritish Airwaysキャセイパシフィックの標的型攻撃(と言われている)が、挙げられます。とはいえ、(詳しくは書けませんが)こちらはページ改ざんだけでなく、かなり大がかりな侵入の結果、カード情報が漏えいしています。

foxsecurity.hatenablog.com

 

PCI DSS準拠のECサイトであっても情報が漏えいする事もある。であるならば、カード情報非保持を実現できていたとしてもカード情報が漏えいする可能性があると考えるべきなのですが、カード情報非保持をゴールだと考え、思考停止に陥るECサイトはまだまだ多いようです。

以前の記事でも書きましたが、決済のページを改ざんされて偽ページに飛ばされる事が原因です。決済ページはカード情報非保持(サービスプロバイダの責任範疇)の範囲外であり、自社に管理責任がある範疇です。

そこが改ざんされる攻撃は、事故件数が増えています。おそらく、これからも同じ脆弱性を狙った『カード情報非保持を実現したECサイト』への攻撃は減らないと推測されます。今一度、自社ECサイトWeb脆弱性が無いか、あるいは改ざん検知機能が導入できないか、確認すべきではないでしょうか。

 

 ゴールテープを持つ人のイラスト

更新履歴

  • 2018年12月20日PM(予約投稿)