本特集は、日経コンピュータの看板コラム「動かないコンピュータ」の過去記事の中から、セキュリティー関連の事例を14本取り上げていく。トラブルの真相から、今後のリスク回避につなげてほしい。今回は7pay問題に揺れるセブン&アイ・ホールディングス傘下のセブンネットショッピングだ。

 セブンネットショッピングは2013年10月、同社のEC(電子商取引)サイトがなりすましによる不正アクセスを受け、最大15万件のクレジットカード情報が流出した恐れがあると発表した。被害ユーザーを特定できなかったことから、約150万人のユーザーに警告を出す事態となった。

 セブン&アイ・ホールディングス傘下で、EC(電子商取引)サイトを運営するセブンネットショッピングは2013年10月23日、同社のECサイトがなりすましによる不正アクセスを受け、顧客情報が流出した恐れがあると発表した。最大15万165件の氏名や住所、電話番号、クレジットカードの番号や有効期限といった情報が盗まれた可能性がある。

 同社が大量の不正アクセスを受けたのは、2013年4月から7月にかけて。攻撃者が正規のユーザーになりすまして、同社のECサイトに繰り返しログインしていた。同社のECサイトには、ログインした状態であれば、ユーザーが登録したカードの番号や有効期限を攻撃者が閲覧できてしまうという、セキュリティ上の欠陥があった。この欠陥を悪用した攻撃者が、カード情報を盗み出した。

 情報流出の発覚後、同社はカード情報を登録していた約150万人のユーザーに対して「カード情報が盗まれた恐れがある」とメールで注意を呼びかけた。同社はECサイトのアクセスログを適切に記録しておらず、被害を受けたユーザーを特定できなかった。結果、カード情報を登録していた全ユーザーに、警告を出さざるを得なかった。警告を受けて、カード番号を変更したユーザーも多い。

 セブンネットの原田良治取締役は、「被害を特定できなかったことから、多くのお客様にご迷惑とご心配をおかけした。このようなことが二度と起きないよう、厳重に注意する」と反省の弁を述べる。

カード会社からの警告が発端

 同社がECサイトへの攻撃に気付いたきっかけは、2013年6月にクレジットカード会社から「カード情報がセブンネットから流出している懸念がある」と連絡を受けたことだった。カード会社の調査で、カードを不正利用された被害者の共通点として、セブンネットの利用履歴があることが浮かび上がったもようだ。

 連絡を受けたセブンネットはまず、ECサイトに欠陥が無いか社内調査を行った。しかし、独力では欠陥を見つけられなかったため、カード会社から専門のフォレンジック(情報の収集・分析)会社の調査を受けるよう推奨された。専門家の調査を受けたところ、2013年7月下旬になって、ECサイトの「いつもの注文」というページに、カード情報を漏洩させる問題があることが分かった。

 「いつもの注文」は、ユーザーが決済に使うカード情報を登録したり、編集したりするページである。ページはユーザーごとに用意されている。カード決済システム用の国際的なセキュリティ基準である「PCI DSS(PCIデータセキュリティ基準)」では、Webサイト上などでカード番号を表示する際には、ユーザーに対して最大で4ケタしか表示しないよう求めている。そこで同社も、「いつもの注文」の画面上では、カード番号の末尾4ケタだけを表示するようにしていた。

 この手順に問題があった。同社は「いつもの注文」のページのHTMLソースに、カード番号の16ケタ全てと有効期限を記載。その情報をWebブラウザ上で「マスキング処理」したうえで、末尾4ケタのみを表示するよう加工していたのだ。

 そのため、ブラウザ画面上では表示されないものの、HTMLソースをPCで読み込めば16ケタのカード番号が見られる状態になっていた。本来であればマスキング処理はサーバー上で行い、HTMLソースに記載する情報も末尾4ケタのみに限定してブラウザに送信すべきなのに、同社はそれをしていなかった。この脆弱性は、現在のECサイトを構築した2003年から存在していた。

 今回の攻撃では、セブンネット以外のWebサイトが流出させたユーザーIDやパスワードを攻撃者が使い、セブンネットへのなりすましアクセスを試み、「いつもの注文」のページからカード情報を盗み出していたと考えられる。なりすましアクセスを複数のユーザーIDに対して繰り返し行い、大量のカード情報を盗み出した。

この先は会員の登録が必要です。今なら有料会員(月額プラン)が2020年1月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら