クレジットカード情報漏えいの新しい手口
下記のエントリーは、WEB管理者は一度読んでおいたほうがいいでしょう。
聖教新聞社が運営する通販サイト「SOKAオンラインストア」から2,481件のクレジットカード情報が漏洩した。リリースによると、漏洩に使われた手口は従来とは異なるもので、改正割賦販売法の実務上のガイドラインである「クレジットカード情報非保持化」では対策できないものであった。
手口は単純明快。
1)決済代行事業者サイトのUIを真似てユーザーの入力を横取りする
2)失敗画面を出したあとに正規ルートへリダイレクトする
3)再度ユーザーが入力したら正常に進む
ユーザーもWEB管理者も気が付きにくいというものです。
フィッシングサイトだとURLが変わるので気が付きそうなものですが、ECサイト自身で偽画面を出すため、ユーザーはUIがうまくできていると本物だと勘違いしてしまいます。また、自分の打ち込みミスかな?と思って再入力すると問題なく次に遷移するので、まさか漏えいに直面しているとは気が付きません。
改ざん検知システムとは何か
この件において最も力を発揮するのは、改ざん検知システムだと思います。
脆弱性対策、WAFについては、悪意のある第三者を侵入させないための対策ですが、正規ルートでログインされた場合は無力です。AWSのアクセスキーをGITHUBで公開してしまい乗っ取られる事例など有名ですが、ヒューマン系のミスには無力です。
WEB管理者が想定しないアップデートがされたら、すぐに気が付くのが被害を拡大させないためには重要でしょう。アクセス権の適切な設定は重要ですが、これも試行錯誤で突破される可能性があります。まずは改ざんの検知こそ重要です。
とりあえずオープンソースのソフトウェアで、コストをかけずに手早く防ぎたいとしたときに、お勧めするのは「AIDE」です。ほかに有名なパッケージにTripwireがあるのですが、こちらはかなり歴史のあるソフトウェアで、導入や設定、運用が難しめの印象です。sendmailよりpostfixの方がラク、というのと同じ理屈でAIDEを進めます。
AIDEの導入事例を紹介します。
ファイル改ざん検知システム(AIDE)を構築してみる – CLARA ONLINE techblog
RHEL/CentOSではyumでインストールできて、かつ設定ファイルが感覚的で素晴らしいです。また、常駐式ではないので、killされる心配もありません。
一方で、せっかくAIDEがレポートを運用者に送っても、これを運用者が見なければいみがありません。問題があってもなくてもメールする運用だと埋もれてしまいますので、一旦ローカルにレポートを作成しつつ、変更が検出されたときだけメールするような仕組みも別途必要でしょう。このあたりはZABBIXなどの汎用監視サーバーと組み合わせると心地よさそうです。
まとめ
ファイアウォールやIDS/IPSやWAF、脆弱性検査など、いろいろ外壁を守る手段は充実してきているものの、実際にシステムの中に入られたら無力なケースが多いです。入られた後にも何らかの仕掛け(今回の改ざん検知システムなど)を用意しておき、痕跡を残す技術の重要性を突き付けられた今回の事件です。
「クレジットカード情報は弊社システムでは保持していないので、安全です」で逃げられた時代は終了したと思います。AIDEなどのオープンソースで簡易的に対策しつつ、有償ソフトウェアやサービスなどの導入もぜひご検討していただきたいと思います。
徳丸浩のWebセキュリティ教室(日経BP Next ICT選書)
