14万件のクレジットカード情報が流出!その手口と対策は? 脆弱性Lab

2020年1月24日

1.ECサイトに関する注意喚起

2019年12月20日、ショッピングサイトの構築パッケージである「EC-CUBE」の脆弱性等を悪用したサイトの改ざんにより、クレジットカード情報が窃取されるといった被害が多発していることから、経済産業省より注意喚起が発表されました。
これまでに漏えいしたクレジットカード情報は約14万件にのぼるとのことで、ECサイト運営者は注意が必要です。

また、IPA(情報処理推進機構)やJC3(日本サイバー犯罪対策センター)といった団体からも併せて、注意喚起が発表されています。

2.ECサイトの改ざんとクレジットカード情報の流出手口

今回の注意喚起によると、ECサイトの決済画面を改ざんされ、不正なスクリプト等が埋め込まれ、サイト利用者が入力したクレジットカード情報が攻撃者に奪取される手口です。
EC-CUBEの利用サイトがターゲットとなっており、ECサイトのインストール時の不備や、過去発表された脆弱性対応がなされていない等を悪用され攻撃されるケースがあります。

改ざん手口と情報流出被害の例

<改ざん手口と情報流出被害の例>

3.ECサイトの改ざん原因

イーシーキューブ社によると、以下のセキュリティ対策が十分に行われていない場合において、ECサイトの改ざん被害が発生している可能性があると公表されています。
原因として、脆弱性だけではなく、各種セキュリティ設定が実施されていない場合においても、改ざん被害が発生している可能性が示唆されています。

・正しいインストール環境設定
・EC-CUBEの既知の脆弱性修正対策
・利用しているサーバーのセキュリティ対策
・ECサイトの管理画面のセキュリティ対策
・同じ環境に設置されている他のCMSのセキュリティ対策

4.改ざん検知の有効性

上記記載の通り、サイトを改ざんする手口は、脆弱性だけではなく、様々な原因が存在し、ECサイトを守るためには多くのセキュリティ対策が必要であることがわかります。
様々な原因のために多くのセキュリティ対策について時間とコストをかけて検討したところで、対策が漏れてしまう可能性もありますし、そうこうしているうちに攻撃者は新たな手法で攻撃を仕掛けてくるかもしれません。
このような状況のなか、改ざん検知システムを導入することは、仮にWeb改ざんが行われたとしても早期に発見することができ、被害を最小限に抑えることが可能なため、非常に有効な対策となります。

今回の事象は、サイト改ざんが行われることによってクレジットカード情報が抜き取られるようなので、ファイルの変更や追加を検知できる改ざん検知システムは、サイト利用者の被害を早期に検知し最小限に留めるための最後の砦と言えるでしょう。
また、クレジットカード情報を非保持化していれば、ECサイトが安全かと言うとそうではないでしょう。
例えば、商品を購入する際に「注文確認画面」「カード情報入力画面」という順で決済されるECサイトにおいて、不正アクセスによるファイル改ざんによって、正規のカード情報入力画面の前に、偽のカード情報入力画面を表示させた場合、多くのユーザは正規のドメインではないが、本物と同じデザインのカード情報入力画面にクレジットカード情報を入力してしまうことが考えられます。
ECサイトにクレジットカード情報を保存しない非保持化の対応をしていたとしても、ユーザのクレジットカード情報が抜き取られます。
ユーザの処理上、クレジットカード情報のみならず個人情報等の重要な情報を入力するシステムにおいては、改ざん検知システムでファイル監視することを強くおすすめします。
それは、今回の情報流出の手口からも重要な対策といえるのではないでしょうか。

5.最後に

いままでお話してきた通り、今回の注意喚起の事案としてあげられている様々な原因に対して、多くのセキュリティ対策を検討したところで、
対策が漏れてしまう可能性がありますし、攻撃者は新たな手法で攻撃を仕掛けてくるかもしれません。

皆さんの会社において、改ざん対策は万全でしょうか?

もしもまだということであれば、検討してみてはいかがでしょうか。

>Tripwire Enterprise(改ざん検知・侵入検知)の詳細については、
 こちらをご確認ください。
Tripwire Enterprise
(改ざん検知・侵入検知)
著者プロフィール
波多野 光

2013年、京セラコミュニケーションシステム 入社。情報処理安全確保支援士。
各種セキュリティ製品のインテグレーション業務に従事。
企業の安全なクラウド活用の実現を目指し、鋭意クラウドサービス開発中。

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ