orangeitems’s diary

クラウドではたらくエンジニアの日々の感想です。

WEBサイト改ざんによるクレジットカード情報漏洩の手口が広がっている

f:id:orangeitems:20181025223136j:plain

 

カード情報をデータベースに持っていないECサイトが次々と漏えい

ECサイトにおいて消費者がクレジットカードで決済するときに、偽の画面を挿入しカード情報を別サイトに送信してから、元の画面に戻し再度入力させユーザーにもECサイト管理者にも気づかせないようにカード情報を抜き取る。

こんな手口が広がっているという記事を数日前に書いたばかりでした。

 

www.orangeitems.com

 

ところが、また起きました。

 

tech.nikkeibp.co.jp

今治タオルの販売を手掛ける伊織は2018年10月24日、同社の通販サイト「伊織ネットショップ」が不正アクセスを受けたと発表した。延べ2145人分のクレジットカード情報が流出した可能性がある。クレジットカード決済時に偽の入力画面を表示するよう、第三者が同サイトを改ざんした。

 

この手口の詳細は、伊織のサイトで公開されています。

 

www.i-ori.jp

 

f:id:orangeitems:20181025220058j:plain

転載:【重要】カード情報流出についての、ご質問とご回答 - タオル専門店「伊織」

 

今回の場合、「フィッシングサイトに飛ばされた」という記載がレポートには見受けられるので、ユーザーがよーくURLを確認すればわかったのかもしれません。ただ上記注意書きにもありますが、見た目が同じです。画像やHTML、CSSなどは全部流用し、フォームの送信先だけが違うのでしょう。気づく方が難しいですよね。

また、そもそも(今回は違うようですが)フィッシングサイトに飛ばさずとも、フォームはサーバー上に置きデータだけ外部サイトに送る方法を取ればURLすら変わりません。

この状況におけるユーザーの対策は「カード情報を一度入力したのに再度入力させられる場合はそれ以上処理を進めてはいけない」、と言うことになると思います。※ただ、この時点ではもう手遅れなのですが。早期発見のため問い合わせはするべきだと思います。

 

ECサイト管理者目線で言えば

ユーザーサイドからはあまり自衛の方法がないのですが、そもそもなぜ改ざんを受けてしまうのでしょう。第三者がまずサーバーに侵入しないと改ざんは決してできません。

(1)管理者がサーバーに入っているルートに侵入された

(2)管理者がサーバーに入っているルート以外で侵入された

このどちらかしかありません。

(1)であれば、IP制限をかけておらず誰でもログイン試行可能で、パスワードをリスト攻撃で破られた場合が考えられます。もしくは秘密鍵認証だけれども、秘密鍵が漏えいした場合もありえるでしょう。どちらにしろ、インターネットのどこからでもログイン試行できる状態のであり、かつ第三者の攻撃に気が付かない管理方法であればいつかは破られる可能性があります。

(2)は、不注意で侵入されるような通信経路があった、もしくはミドルウェアやOSに脆弱性があり攻撃されたという場合です。これは脆弱性検査をきちんと行うことです。ありえないポートが不用意にオープンされているかもしれません。そのうえで、WAFやIPSできっちり守ることが重要でしょう。

何しろ、漏えいしてから対応すると、セキュリティーにかける費用の何十倍、何百倍ものコストがかかります。特に信用は後からお金で買えませんので、きちんと事前に費用をかけて整備しておくに限ります。

 

データベースを盗むのではなく、行動を盗む

最近のこのトレンドは全くもって大胆不敵なやり口だと思います。データベースを盗むためにSQLインジェクションを行ったり、ファイルを転送したり、というのがもっぱらのデータ流出だったのが、ユーザー自ら秘密情報を入力させそのデータをかっさらう。

インターネットの世界は、悪意のある第三者が世界中で、ログイン可能である不用意なサーバーを常に探しています。しかも自動化されていて24時間動いています。ログイン試行に偶然成功したらおそらく攻撃者に自動で通知されるのでしょう。

そろそろ、インターネットでサービスをするということ自体が、中小企業レベルで扱うのにリスクが高すぎるのではないかと考えています。攻撃者がどんどん進化しているのに構築側のスキルは高度化していません。安全設備のついていない格安ホスティング業者でスモールスタートでサイト構築するのは、特にECサイトなどお金が絡む場合はやめるべきだと個人的に思います。

 

システムを「外注」するときに読む本