2018年後半に浮き上がった事例で見逃せないのがクレジットカード情報の流出事件だ。聖教新聞、伊織、ウエストという3件の事例がある。Webセキュリティの第一人者である徳丸浩氏に、これらの事件について語ってもらった。3回にわたって掲載する。

(聞き手は日経xTECH Active編集部)

カード情報流出の原因は結局、脆弱性

ECサイトでの情報漏洩ですが、エンドユーザーができる対策はありますか?

徳丸 エンドユーザーに気をつけろというのはちょっと酷な話で、じゃあ、私が気づけるのかと言われるとちょっと自信がないですね。伊織の事件だったら気づくかもしれません。あれは画面遷移が不自然だったんですよ。だから気づけたはずなんですが、多くの人は気づかなかったということですね。SOKAオンラインやウエストの事件では、気が付けるとは思えません。

 そうなると、運営側に真剣に取り組んでもらうしかないですね。不思議なのは、どうしてカード情報を盗む人たちが、ECサイトを部分的に改ざんできたのだろうか、ということです。

徳丸 それはECサイトの脆弱性を狙って、不正アクセスを行ったのでしょうね。一般的に以前から画面の改ざんされていたので、改ざんができるということは遷移を変えることもできるということです。侵入の手口はたぶん変わってないでしょう。

 侵入した後でなにをするかというところで、昔はデータベースやファイルをあさって、たまっているカード情報を盗んでいたものが、今度は画面遷移を変更して偽物を作るようになった。ここまでは予想できなかったんですけど、「非保持でもダメだ」という私の予言は当たってしまいました。しかも、残念なことに何件もこういう事例が出てきています。

カード情報流出への対策は基本に戻ること

では、どういう対策をとるべきなのでしょうか。サイト運営者は、どこかが書き換えられたらアラートが出る、という措置をしておいた方がいいのではないでしょうか。

徳丸 そうですね。じつはPCI DSSの規定では、ファイル改ざん検知システムの導入を義務化しているんです。

 ただし、Webコンテンツの改ざん検知は面倒臭くてみんなやりたがらない。というのは、Webサイトの更新では、ふだんから画像の入れ替えなどの作業があります。それが改ざん検知システムからすると改ざんに見えるので、アラートがあがったり、場合によっては更新前の状態に戻ってしまったりする。だから、部分的に「改ざん検知を有効にする」という運用はありえます。例えば設定ファイルのところだけ改ざん検知を有効にする、というパターンです。そうするとすべてのファイルについて書き換えを検知することはできません。PCI DSSに準拠していても、導入を義務化されている改ざん検知システムのサポート範囲が限定的であれば、検知できない可能性はあるんです。

この先は日経 xTECH Active会員の登録が必要です

日経xTECH Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。