2018年後半に浮き上がった事例で見逃せないのがクレジットカード情報の流出事件だ。聖教新聞、伊織、ウエストという3件の事例がある。Webセキュリティの第一人者である徳丸浩氏に、これらの事件について語ってもらった。3回にわたって掲載する。
カード情報流出の原因は結局、脆弱性
ECサイトでの情報漏洩ですが、エンドユーザーができる対策はありますか?
徳丸 エンドユーザーに気をつけろというのはちょっと酷な話で、じゃあ、私が気づけるのかと言われるとちょっと自信がないですね。伊織の事件だったら気づくかもしれません。あれは画面遷移が不自然だったんですよ。だから気づけたはずなんですが、多くの人は気づかなかったということですね。SOKAオンラインやウエストの事件では、気が付けるとは思えません。
そうなると、運営側に真剣に取り組んでもらうしかないですね。不思議なのは、どうしてカード情報を盗む人たちが、ECサイトを部分的に改ざんできたのだろうか、ということです。
徳丸 それはECサイトの脆弱性を狙って、不正アクセスを行ったのでしょうね。一般的に以前から画面の改ざんされていたので、改ざんができるということは遷移を変えることもできるということです。侵入の手口はたぶん変わってないでしょう。
侵入した後でなにをするかというところで、昔はデータベースやファイルをあさって、たまっているカード情報を盗んでいたものが、今度は画面遷移を変更して偽物を作るようになった。ここまでは予想できなかったんですけど、「非保持でもダメだ」という私の予言は当たってしまいました。しかも、残念なことに何件もこういう事例が出てきています。
カード情報流出への対策は基本に戻ること
では、どういう対策をとるべきなのでしょうか。サイト運営者は、どこかが書き換えられたらアラートが出る、という措置をしておいた方がいいのではないでしょうか。
徳丸 そうですね。じつはPCI DSSの規定では、ファイル改ざん検知システムの導入を義務化しているんです。
ただし、Webコンテンツの改ざん検知は面倒臭くてみんなやりたがらない。というのは、Webサイトの更新では、ふだんから画像の入れ替えなどの作業があります。それが改ざん検知システムからすると改ざんに見えるので、アラートがあがったり、場合によっては更新前の状態に戻ってしまったりする。だから、部分的に「改ざん検知を有効にする」という運用はありえます。例えば設定ファイルのところだけ改ざん検知を有効にする、というパターンです。そうするとすべてのファイルについて書き換えを検知することはできません。PCI DSSに準拠していても、導入を義務化されている改ざん検知システムのサポート範囲が限定的であれば、検知できない可能性はあるんです。