orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。



ヤマダ電機不正アクセス発生 業界を挙げてWeb改ざんへの厳しい対応が必要

f:id:orangeitems:20190529181356j:plain

 

ヤマダ電機のECサイトから流出

大きいのが来ましたね・・。

 

www.yamada-denki.jp

このたび、弊社が運営する「ヤマダウエブコム・ヤマダモール」におきまして、第三者による不正なアクセスを受け、クレジットカードの情報が最大37,832件流出した可能性があることが2019年4月16日に判明いたしました。

 

www.itmedia.co.jp

 流出した可能性があるのは、2019年3月18日~4月26日の期間に同サイトで新規クレジットカード登録や登録変更をした最大3万7832件の顧客情報。クレジットカード番号、有効期限、セキュリティコードが流出し、一部顧客のクレジットカード情報が不正利用された可能性があることを確認しているという。
 同社のペイメント(決済)・アプリケーションが第三者に改ざんされていたことが、流出の原因とみている。

 

考察

この手口、流行のきざしはあったんです。ちょうど半年前、2018/10/26の記事です。

 

www.orangeitems.com

ECサイトにおいて消費者がクレジットカードで決済するときに、偽の画面を挿入しカード情報を別サイトに送信してから、元の画面に戻し再度入力させユーザーにもECサイト管理者にも気づかせないようにカード情報を抜き取る。

 

詳細は上記の通りです。ひと昔前は、カード情報はECサイトに保管しない。そうすれば漏洩しない、みたいな哲学があったのですが、それがすり抜けているという事実です。

会員がクレジットカードを入力しようとするページを差し替えて、外部に情報を送信するようにして、その後本体のページに差し戻す。これをやられると、ユーザーは、「あれ、何か間違えたっけ?」となるだけで、クレームも入りにくいんですね。

IT業界にいる私も頭が痛い話です。

そもそも何で、ページが差し替えられたのか。いろんな脆弱性の可能性は考えられます。インフラ基盤に誰かが侵入することから始まり、CMS(有名なところでWordPressなど)の脆弱性をつかれ管理ページ経由で差し替えられるということもありえるでしょう。これは今後報告されるのかどうかわかりませんが、データベースの情報を抜き出すよりもページを差し替えることのほうが難易度は低いと思います。

そして、これがECサイトの中でも規模が大きいヤマダ電機で起こったというのは、状況が深刻ということを示します。EC運用者は、今一度、サイト書き換えへの防御を考えるべきです。

 

改ざん防止対策資料

IPAの資料を添付します。2014年の資料です。

 

www.ipa.go.jp

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、ウェブサイト改ざんの対策のために組織においてそれぞれの立場で求められる対策をまとめたレポート「ウェブサイト改ざんの脅威と対策」を2014年8月29日からIPAのウェブサイトで公開しました。

 下記より「ウェブサイト改ざんの脅威と対策」についてのレポートPDF版をダウンロードしてご利用いただけます。

 

業界全体で「これが十分な具体的対策!」っていう方法が無く、WAF/IPSでインフラとしてがちがちに守るか。脆弱性検査を定期的に行って穴を防ぐか。もしくは改ざん防止ツールを入れて検知を早急にするか。どれかではなく、全てやらないといけないのでしょう。

今回の事件を機に業界内で協力して横展開で対応していってほしいと思います。クレジットカードをECサイト内のインフラに持たなければ大丈夫・・という思い込みがあったのではないでしょうか。今回の件は、間違いなく、予兆が発生していたにもかかわらず業界全体の取り組みが甘かったのだと思います。