Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

近藤ニットの事件はカード情報非保持の盲点だったかも知れない

天然素材を使った衣料品の通販サイトがクレジットカード情報漏えいした可能性があるとSecurityNextが報じていました。

www.security-next.com

■公式発表

 evam eva online shopへの不正アクセス発生についてのご報告とお詫び

 

事件の状況 
  • 2018年6月19日にカード会社から決済代行会社を通じて、情報漏えいの懸念がある旨連絡を受け、調査したところ漏えい懸念が判明
  • 2018年3月7日~2018年6月19日にクレジット決済をした顧客が対象
  • 漏えいした可能性があるデータは、カード名義人名、クレジットカード番号、有効期限、セキュリティコード
  • 漏えい件数は最大358件

 

◆キタきつねの所感

「またECサイトが攻撃受けたんだ」程度で、最初は普通に記事を読んでいました。しかし近藤ニットの公式発表と読み比べて、Security Nextの記事には、とても気になる部分がありました。

同サイトを運営する近藤ニットによれば、海外のIPアドレスよりウェブアプリケーション脆弱性を突く不正アクセスがあり、不正なプログラムが設置されたという。3月7日から6月19日にかけてサイトのクレジットカード入力画面から入力された情報が外部へ送信されたと見られる。

(Secuity Next記事より引用)

毎回のように出てくる「Webアプリケーションの脆弱性」なる曖昧な言葉、、他社の、あるいは今後の教訓のために、その脆弱性が何であったのかを知りたいのですが、何も書いてません。一般的には、クレジットカード情報が漏えいした際は、フォレンジック調査会社が詳細調査を実施します。その調査報告書には、推定される「脆弱性」が明示されているはずです。同じような攻撃キャンペーンが他のECサイトに向けられる可能性があるので、攻撃を受けた事業者には脆弱性を開示してもらいたいのですが・・・。

でも今日の本題はここではありません。

 

不正なプログラムが設置」されて、「クレジットカード入力画面から入力された情報が外部へ送信された」という部分。近藤ニットの公式発表にはこの部分の記載はありません

 

3、原因
調査会社の調査により、2018年3月7日から2018年6月19日に外部からのWebアプリケーションの脆弱性を利用した攻撃により、ご利用いただいた際にご登録いただいたクレジットカード会員データ等が抜き取られた可能性があことが判明いたしました。

(公式発表から引用)

 

事件の発生(検知)日は、6月19日。改正割賦販売法が施行された後ですので、おそらく近藤ニットはカード会社や決済代行会社の指導を受けて、「カード情報非保持」のソリューションを導入していたものと推測されます。(JavaScript型の可能性が高い気がします)

この事件はつまり、「カード情報非保持」であったのに、カード情報が漏えいした(ある意味、カード情報非保持が破られたとも言えるかも知れません)可能性があります。

 

Security nextの記事と公式発表からの断片的な情報から推測となりますが、クレジットカード情報を入力するページが不正改ざんされた可能性が考えられます。

この推測が正しければ、2018年3月7日~2018年6月19日にかけてECサイトを利用した顧客が漏えい対象となっていますので、3月6日~7日にかけて決済ページが不正改ざんされた事になります。一方で6月まで漏えいに気づいてませんので、この間のEC決済は正常に完了していると考えるのが自然です。

 

では、「不正なプログラムにより、カード情報を不正に外部に送信する」事は可能なのでしょうか?

例えばJavaScriptの不正コードをページに埋め込むことで可能だと思います。

 

本来は、

 近藤ニット→→(カード情報非保持)→→決済代行会社

となるべきところを、

 近藤ニット→→(カード情報非保持)→→決済代行会社

     ↓

     ↓(不正なプログラム)※Javascript等の不正コード挿入

     →→→(攻撃者管轄のサーバ)

 

とカード入力ページの改ざん(不正プログラム設置)が出来てしまうと、正常に決済代行会社にも決済データが渡っていますので、なかなかこの不正は気づけません。

 

では、この推測が合っていたとして、何が問題なのでしょうか?漏えいした可能性のあるクレジットデータは1000件にも及びません。海外で数百万件のデータ漏えい!と騒がれる事件に比べて影響度があるとは思えない方は多いかも知れません。

 

多くの非対面加盟店(ECサイト)は、改正割賦販売法、そのガイドラインである実行計画2018に書かれている「クレジットカード情報非保持」を導入して割販法を順守しようとしています。乱暴な言い方をすれば、「カード情報非保持ソリューション」を既に導入したから大丈夫という空気が業界の中に蔓延していると言えます。

今回の事件は「カード非保持だから安全」というユーザの過信を攻められた可能性があります。

それは決済ページに対する防御不足であり、決済ページに対する改ざん検知があれば防げたかも知れません。

あるいは(原因が不正プログラム設置であれば)脆弱性スキャンなどのホワイトテストでも、その兆候が掴めたかも知れません。

こうしたEC再度側の過信が続くならば、攻撃者もその点を突いてくる可能性は高く、結果として「カード情報非保持」がガイドライン=実行計画から外れていく、又は追加セキュリティ対策が必須化してしまう事につながってしまうかも知れません。

 

※公式発表や関連記事の断片的な情報からの推測ですので、私の懸念が「間違っている」のであれば、それにこした事はありませんが、「JavaScript型」は、色々な攻め方があると言われていますので、非保持ソリューションを導入済みのユーザであっても、多層防御(その他の対策)を考えておく方が良いかも知れません。

 

 

ニット帽のイラスト

 

更新履歴

  • 2018年8月2日PM(予約投稿)