Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

非保持は来年も狙われる

PCI DSS クレジットカード情報漏えい事件 不正アクセス事件

カード情報非保持を狙った攻撃。ECサイトは狙われている存在である事を今一度思い出すべきかも知れません。

www.nikkei.com

 

■公式発表 不正アクセスによる個人情報流出に関するご報告とお詫び

 

電子書籍などのデジタルコンテンツを扱うマーケットプレイス「DLmarket」を運営するディー・エル・マーケットは2018年12月25日、今秋DLmarketで発生した不正アクセスに関する調査結果を公表した。DLmarketユーザーのクレジットカード情報の一部が流出した可能性があるという。

ディー・エル・マーケットは10月22日に不正アクセスを公表した。これまではメールアドレスや氏名、会員IDといったユーザーの個人情報の一部が流出した可能性があるとしていた。

ディー・エル・マーケットはその後、外部の調査機関の協力を得て不正アクセスの原因などの調査を進めた。カード情報が流出した恐れがあるとのクレジットカード決済代行会社からの指摘を受け、11月12日にカード決済とサイトを停止。調査対象をカード決済にも広げて原因を探った。12月7日までの調査で、ディー・エル・マーケットのサーバーが不正アクセスを受けて改ざんされ、偽のクレジットカード決済ページに誘導されるようになっていたことが分かった。

改ざんの結果、クレジットカードの番号と名義、セキュリティーコード、有効期限の情報が流出した可能性があるという。ディー・エル・マーケットによれば流出したクレジットカード番号は最大7741件、決済は成立していないものの偽の決済ページに誘導された件数は最大で903件。

(日経記事より引用)

 

◆キタきつねの所感

予想通りと言えば良いのでしょうか。ECサイトの多くは去年3月~5月頃に実行計画(改正割賦販売法のガイドライン)に従い、カード情報非保持のソリューションを導入しました。実行計画は、よく読むとカード情報非保持にするだけでは不十分ですよ、、といった事が書かれているのですが、とりあえずカード情報非保持と言える状態を作った事に慢心しているECサイトが非常に多いようです。

 

攻撃側は、そうしたECサイトの隙を突いた攻撃を仕掛けてきており、今回のDLmarketを入れると、私が把握しているだけで6件カード情報非保持のECサイトからクレジットカード情報(セキュリティコード含)が漏洩しています。

 

日時 出来事
2018/12/25 DLmarket(7,741件)
 2018/11/12に決済代行会社より連絡を受ける
 2018/10/17-11/12のカード決済情報が対象
2018/12/20 ウェストオンライン通販サイト(668件)
 2018/9/12に不正画面が設置(ページ改ざん)
 2018/9/12-11/2のカード決済情報が対象
2018/12/7 エデイットモード(2,169件)
 2018/7/11に決済代行会社より連絡を受ける
 2018/3/7-7/11のカード決済情報が対象
2018/11/27 ZOWHOW(397件)
 2018/7/18に決済代行会社より連絡を受ける
 2018/4/25-7/18のカード決済情報が対象
2018/10/24 伊織ネットショップ(2,145件)
 2018/8/22に不正アクセスを確認
 2018/5/8-8/22のカード決済情報が対象
2018/10/9 SOKAオンラインストア(2,481件)
 2018/7/30に不正ファイル混入(ページ改ざん)
 2018/7/30-8/24のカード決済情報が対象

 

おそらく現在フォレンジック調査中の案件もあると思いますが、夏頃から決済ページのWeb改ざん攻撃は増えています。その手法では、非保持ソリューションにつなぐ重要なページ、ECサイト側の管理(責任)にある決済ページを襲っている傾向があります。

ただしカード漏洩の件数は、各々のECサイトで1万件以下と少ないので、あまり話題になりません。攻撃側から見ると成功例が積み上がってきているので、他にもWeb脆弱性のあるECサイトを同じ攻撃パターンで狙ってくる可能性は相当高く、その手段がDarkWeb等で”共有”される事により、来年は被害件数が拡大する事が予想されます。

海外ではBritish Airwaysを含めJavaScript型のページが、PCI DSS準拠の企業からも漏洩しています。つまり、よりセキュリティ対策を講じているであろうPCI DSS準拠のECサイトからも漏洩する可能性がある中、日本企業のECサイトは非保持を達成したとしても、まだ穴(脆弱性)が残っている可能性があるのだと言う事に他なりません。

現在、改正割賦販売法のガイドラインである実行計画(カード情報非保持を定義している)が2019年版の改訂作業に入っているはずですが、今後も事件が多発する様であれば、ガイドライン自体が近い将来に変わってしまう(より強化される)可能性は十分にあります。

 

当たって欲しくない2019年の予想ではありますが、当たる率が高いと思って、ECサイト運営の会社は、今一度、自社のセキュリティ体制(Web脆弱性)を確認した方が良いかと思います。

 

 

 äºæ³å±ã®ã¤ã©ã¹ã

 

更新履歴

  • 2018年12月30日AM(予約投稿)