セキュリティの
学び場

今回の解説ニュース

Webサイトに不正アクセスがあり、クレジットカード情報が漏洩してしまったということです。クレジットカード情報を窃取する際に行われるペイメントアプリケーションを改ざんする手口や、Webサイトの運営者ができるセキュリティ対策について説明します。

今回のインシデントは、一部のクレジットカード会社からWebサイトを利用した顧客のカード情報の漏えい懸念について連絡があり、第三者調査機関による調査を開始したところ、顧客のカード情報と個人情報が漏えいし、一部顧客のカード情報が不正利用された可能性が確認されました。原因として、当該サイトのシステムの一部の脆弱性を利用した第三者の不正アクセスでペイメントアプリケーションが改ざんされたことが挙げられています。

対策として、当該サイトでのカード決済を停止し、カード会社と連携し漏えいした可能性のあるカードの取引のモニタリングを継続して実施しています。並行して顧客に対しても、身に覚えのない項目があった場合はカード会社に問い合わせるよう呼びかけています。また、個人情報保護委員会、総務省関東総合通信局、所轄警察署に報告と被害申告を行っています。

再発防止策として、今後の調査結果を踏まえてシステムのセキュリティ対策と監視体制の強化を行うということです。

後を絶たないペイメントアプリケーション改ざんによるカード情報漏えい

ペイメントアプリケーションを改ざんするためには、サーバ内のファイルを書き換える権限が必要です。不正に権限を取得する方法のひとつとして、管理者に簡単なパスワードが設定されていたり、クロスサイトスクリプティングが悪用されたりすることが挙げられます。今回のインシデントについて詳細は公開されていませんので、あくまでも一般論として説明します。

まず、Webサイトを円滑に運用するためには、CMSが活用されることがあります。CMSとはコンテンツマネジメントシステムの略で、権限の異なる複数の管理者や投稿者によってWebサイトを統合的に管理するシステムです。技術的な知識がなくても、コンテンツを用意できればWebサイトを運用できるため、多くのサービスで利用されています。

CMSにはファイルをアップロードする機能があり、その権限を持つアカウントは適切に保護する必要があります。アカウントはIDとパスワードで守られていることが多いため、第三者が推測できるパスワードを設定していると、ファイルをアップロードする機能が悪用されて、ペイメントアプリケーションが改ざんされてしまう可能性があります。

また、パスワードを適切に設定していても、CMSにクロスサイトスクリプティングの脆弱性があると、攻撃されたユーザのセッションが乗っ取られてしまう可能性があります。具体的には、攻撃者が送ったメールに書かれた罠サイトへのリンクをクリックしてしまうと、CMSのクロスサイトスクリプティングが実行されることで、リンクをクリックした被害者の権限が攻撃者に奪われてしまう場合があります。被害者がファイルアップロードの権限を持っていた場合、ペイメントアプリケーションが改ざんされる可能性があります。

なお、SQLインジェクションやその他の脆弱性も、攻撃者がファイルをアップロードできることに繋がれば、ペイメントアプリケーションが改ざんされる可能性がありますので、注意が必要です。

ペイメントアプリケーションの改ざんが起こる前に出来る事とは

ペイメントアプリケーションなど、意図しない改ざんに気が付くためには、重要なファイルのハッシュ値を取得して定期的に比較するなどして、改ざんされた状態が放置されないようにすることが必要です。

ハッシュ値とは、データを一定の長さの文字列に変換するハッシュ関数によって出力されたデータです。ハッシュ関数で変換する前のデータが変更されるとハッシュ値も変更されるため、データが改ざんされていないことを検証するためにも使用されます。

例えば、指紋は同じものは存在しないと言われていますので、世界に一つだけということになります。仮に、Aさんが指紋認証を行った際に、記録されていた指紋と異なるとすると、指紋に紐づくAさんとは別人であるため、認証が通らないことになります。

ハッシュ値はフィンガープリントとも呼ばれ、指紋と同様の役割を担うことができます。具体的には、紐づくデータが別ファイルになると、ハッシュ値も変更されるため、改ざんされたことに気が付くことができます。ペイメントアプリケーションなど、重要なファイルは改ざんされていないことをハッシュ値を比較するなどして、常に監視することが求められます。

今回は、クレジットカード情報を窃取する際に行われるペイメントアプリケーションを改ざんする手口や、Webサイトの運営者ができるセキュリティ対策についてお届けしました。