通販サイトの不備突いた最新手口とは クレジットカード情報の流出を防げ

2018年6月の割賦販売法改正にあわせて、ネット販売企業は通販サイトのクレジットカード情報非保持化に対応した。しかし、「自社ではカード情報を保有していない」はずなのに、19年を迎えてもカード情報やセキュリティーコードを外部に漏えいしてしまうケースが相次いでいる。5月にはヤマダ電機のような超大手企業が不正アクセスを受け、カード情報を流出したことが発覚した。なぜこうした事件が起きるのか。最新事情を探った。

スポンサードリンク

「非保持化」では対策不十分

攻撃者はぜい弱性を突いてくる

「フォーム改ざん」で盗み出す

図1:攻撃者はカード情報入力ファームにJavaScriptで細工する(徳丸浩氏のブログ:https:// blog.tokumaru.org/2018/10/methods-of-stealing-credit-card-information.htmlから引用)

ウェブアプリケーションに関するセキュリティーの第一人者である、EGセキュアソリューションズの徳丸浩代表取締役は、個人のツイッターやブログでセキュリティーに関する情報を随時発信している。同氏によれば、通サイトからクレジットカード情報を盗み出すための手法は、5つに大別されるという。

「Type1」は「SQLインジェクション」によるもの。これはアプリケーションの欠陥を利用して、データベース(DB)を不正に操作する攻撃手法で、DBに保存されたカード情報などの個人情報を盗み出す。2000年代後半から多く用いられてきた手法で、著名サイトが改ざんされるケースも目立った。SQLインジェクションのぜい弱性があり、DBにカード情報が保存されていることが条件だが、「そもそもDBにカード情報を保存することがなくなったので、絶滅危惧種」(徳丸浩氏)だ。

「Type2」は「バックドア(裏口)を設置し、ログファイル等からカード情報を盗む」タイプ。ログファイルにカード情報が記録されているサイトにバックドアプログラムを設置し、ログをダウンロードする手口だ。徳丸氏は「カード情報の非保持化が進んだとはいえ、過去のログを残していたケースなど、稀にある」と話す。2016 年12月に資生堂子会社のイプサが個人情報を漏えいしたケースでは、サイト立ち上げ当初のテスト仕様状態のままサイトが運用されており、決済処理のログが残る設定となっていたことで、カード情報を盗まれている。

「Type3」は「バックドアを設置し、DBからカード情報を盗む」ケース。Type2と同様にバックドアプログラムを設置、侵入後に「Adminer」などのDB管理ソフトウェアを設置し、DBから該当データを探して盗み出す。徳丸氏は「Type1~3は従来の代表的な手口だが、通販サイトにカード情報が蓄積されていることが前提のため、カード情報の非保持化が進むと使えなくなる」と話す。

近年増えているのが、徳丸氏が分類する「Type4」と「Type5」だ。両方とも、近年一般化した非保持化にも対応した手口となる。

まず、Type4は「カード情報入力フォームを改ざんして、ユーザーが入力中のカード情報を盗む」というもの。通販サイトにおけるカード決済については、カード情報が加盟店のサーバーを通過しない「非通過型」が推奨されている。決済代行業者は対応策として、決済の際、通販サイトから決済代行会社の決済画面に遷移する「画面遷移型」と、入力画面にJavaScript(JS)を組み込み、カード情報は事業者のサーバーを経由せず、決済代行側で処理する「トークン型」の2種類を用意している。Type4は後者をターゲットにしている。

カード情報入力画面が改ざんできるぜい弱性がある通販サイトに対し、悪意あるJSを設置。この状態の入力フォームでユーザーがカード情報を入れると、確認ボタンを押したタイミングで外部のサーバーにデータが送信されてしまう(図1と図2参照)。決済代行業者にもカード情報は流れ、注文処理は正常に行われることから、事態が発覚しにくいのがポイントだ。

徳丸氏によれば、Type4を活用したカード情報窃取が日本で初めて報告されたのは、13年3月に発覚したジェイアイエヌ(現ジンズ)の「JINSオンラインショップ」が不正アクセスを受けた事件という。これはApacheStruts2のぜい弱性を悪用したもので、通販サイトの購入画面で決済フォームに入力した顧客のカード情報が、そのまま外部のデータベースサーバーに送信されていた。

直近では、ヤマダ電機の「ヤマダウェブコム」と「ヤマダモール」からのカード情報漏えいが発覚したが、これも徳丸氏によれば「『ペイメントアプリケーションの改ざんが原因』と発表されており、恐らくType4によるものだろう」という。

「画面遷移型」も破られた

図2:この状態でユーザーがカード情報を入力すると、入力フォームに仕掛けられた細工 で、カード情報が攻撃者の管理するサーバーに送信される(出典は同上)

18年6月に施行された改正割賦販売法では、カードを扱う加盟店に対し、カード番号の適切な管理や不正使用防止を義務づけている。カード業界ではこれにあわせる形で、非対面加盟店のカード情報非保持化への取り組みを進め、加盟店にカード情報の非保持化、またはカード情報を保持する場合はPCI DSS への準拠を求めている。

多くのネット販売企業は「非保持化」対応を選んだとみられるが、対応策のうち画面遷移型については、別のサイトに一度飛ぶ形になることから、顧客の離脱を懸念する通販サイトが多く、事業者側の意向を汲んでトークン型を推す決済代行会社が目立っていた。そのため「JSを使ったトークン型は、カード業界が通販事業者にセキュリティー対策強化を迫る前から破られていたといえるので、(JSを設置するタイプの攻撃に対策できる)画面遷移型を採用するべきと主張してきた」(徳丸氏)。

その画面遷移型をターゲットとしたのが、近年確認された手口であるType5 だ。徳丸氏によると、18年9月に発覚した、聖教新聞社の通販サイト「SOKA オンラインストア」からの情報漏えい事件で初めて報告されたという。運営を委託されていたトランスコスモスの発表によれば、「不正ファイルを混入され、プログラムが改ざんされた。ユーザーが商品を購入する際に、偽のカード決済画面に遷移する仕組みとなっており、カード情報を不正に取得された可能性がある」「偽のカード決済画面にてカード情報を入力して送信ボタンを押すとエラーが表示され、本来の当該サイトの画面に転送されるという非常に巧妙な仕組みになっていた」。

Type5の仕組みをまとめたのが図3だ。徳丸氏は「デザイン等をコピーした偽のカード決済画面を用意し、注文ページからそこに遷移させたのではないか」と推測する。偽の決済ページは通販サイトとはアドレスが変わるわけだが、そもそも画面遷移型は別ドメインのサイトに一度飛ぶのが前提のため、偽ページに遷移したことが気づきにくい。

決済代行業者が「EV SSL証明書」を取得していれば、ブラウザーのアドレスバーに自社(決済代行業者)の名前を表示することが可能だが、「ある決済代行業者は『急に違う会社名がアドレスバーに表示されるとユーザーに怪しまれる恐れがあるため、あえて表示していない』と話していた」(徳丸氏)。カゴ落ちを懸念した対応とみられるが、攻撃者にとっては好都合だ。偽ページでカード情報を入力すると、そのまま攻撃者に伝わるわけだが、Type4と違って決済は正常に完了しない。そこで「決済エラー」画面を表示した後に正常な入力フォームに転送し、再度入力させる。一度決済エラーが起きたとしても、「カード番号を入力ミスしたのだろう」と受け取るのが一般的と思われるため、ユーザーは不信感を抱きにくい。ましてや、再度番号を入力して正常に決済が完了すれば、一度起きたトラブルのことは忘れてしまうだろう。

19年に公表された、通販サイトからのカード情報漏えい事件をまとめたのがP24の表となる(漏えい手口の判定は徳丸氏によるもの)。カード情報を非保持化していても盗み出せるType4とType5が大半を占めていることが分かる。ユーザーが入力フォームに打ち込んだ情報がそのまま攻撃者に流れるため、セキュリティーコードも盗まれてしまうわけだ。徳丸氏は「攻撃者目線で言えば、Type5は偽ページに遷移した際に発覚する恐れがあるため、Type4の方がバレにくいというメリットがある。Type4が使えるサイトならこちらを優先的に採用していくのではないか」と推測する。

セキュリティーの強化に向けた実行計画19年版や、「専門家に聞く効果的なセキュリティー対策」については本誌にて→購入はこちら

NO IMAGE

国内唯一の月刊専門誌 月刊ネット販売

「月刊ネット販売」は、インターネットを介した通信販売、いわゆる「ネット販売」を行うすべての事業者に向けた「インターネット時代のダイレクトマーケター」に贈る国内唯一の月刊専門誌です。ネット販売業界・市場の健全発展推進を編集ポリシーとし、ネット販売市場の最新ニュース、ネット販売実施企業の最新動向、キーマンへのインタビュー、ネット販売ビジネスの成功事例などを詳しくお伝え致します。

CTR IMG