タリーズだけじゃない! “クレカ情報”3年詐取も気付けない「ペイメントアプリの改ざん」とは?
ペイメントアプリケーションの改ざんとは?
各社が原因として挙げた「ペイメントアプリケーションの改ざん」とは、カード情報入力フォームを改ざんして、ユーザーが入力中のクレジットカード情報を盗む手口である。 具体的な例として、次のようなステップで改ざんが行われることになる。 ・攻撃者は、スキマーと呼ばれる不正なJavaScriptを攻撃対象のネット物販サイトに設置 (設置はネット物販サイトの脆弱性の攻撃によるものや、ネット物販サイトが利用しているサードパーティを経由して設置する方法があるが、3社の事案は脆弱性が原因と説明されている) ・利用顧客はネット物販サイトへアクセスし、サーバはページとスキマーを返す ・利用顧客は自身のカード情報を決済用のフォームへ入力 ・スキマーは決済用のフォームに入力されたカード情報を窃取し、攻撃者のサーバへ送信
経産省も2020年から指摘、カード情報漏えいの脅威とは?
クレジットカード業務を所管する経済産業省は、2020年には「インターネットショップでのクレジットカード番号の漏えい・不正利用に注意しましょう」と注意喚起した。 2022年に公開した「クレジットカード番号等の漏えい防止の強化」においては、具体的な改ざんの手法を説明するとともに、ネット物販事業者に対して対策をとるように求めている。 それにもかかわらず前述のような漏えい事案が次々に判明している背景には、コロナ禍を契機としてネット物販サイドを設定する事業者が増大し、犯罪者が防御の少しでも弱い事業者を狙って攻撃を仕掛けたことがある。また、ネット専業ではない事業者に漏えいリスクに対する認識が不充分であったということも指摘しておきたい。
これからでも遅くない対策を解説
まず、物販サイトのシステムについて脆弱性を突かれないように、各種のパッチをあてるなどの対応が必要となる。 また、不正アクセスを防ぐためには、ウィルス対策ソフトや、Webサーバの前に設置して通信を解析・検査し、攻撃と判断した通信を遮断することで、サイトを保護するWAF(Web Application Firewall )、ネットワークを監視し不正アクセスやサイバー攻撃に使われる通信を検知し遮断するIPS(Intrusion Prevention System )などを導入・運用することで不正アクセスを防ぐことができる。 アプリケーション改ざんが行われた場合に被害を拡大させないためには、プログラムの定期確認やログチェックによる不正アクセスの早期検知に加え、CSP(Cloud Service Provider)などによる多段階防御を利用することも効果がある。 いずれにしても、「自分たちのサイトは規模も小さいし大丈夫だろう」といった考えは捨てて、インターネットで物販を行う以上はリスクを理解して適切な対応をとることが必要となる。 いったんカード情報の不正利用事案が顕在化した場合には、調査や顧客への連絡に莫大なリソースを割く必要となるだけではなく、大きなレピュテーションリスクにさらされることになる。 専業ではない事業者は物販サイトの構築や運営を第三者のサービスプロバイダーに任せているケースが多く、漏えい事案が顕在化して初めて問題を知るということもあるようだ。顧客との接点においてどのようなリスクが存在し、どのようなリスク対策がとられているかを認識しておくことも必要である。
「情報漏えい」という言葉は使わないほうがいい?
こうした事案が「情報漏えい」という言葉で一括りにされて発表されることで、本来の脅威が伝わらなくなっていることも問題と考えられる。 カード不正利用による被害が増加傾向にある中においては、「カード情報搾取」という内容の実態とその結果もたらされる、「カード不正利用」という被害について正しく説明する必要がある。 これにより、カード発行者、販売事業者、決済代行事業者、利用者といったそれぞれの当事者の意識を高めることも必要だろう。
執筆:FINOLAB Head of FINOLAB 柴田 誠