カード情報が盗まれる?ペイメントアプリケーションの改ざん手口とは
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」2月22日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・後を絶たないペイメントアプリケーション改ざんによるカード情報漏えい
・ペイメントアプリケーションの改ざんが起こる前に出来る事とは
今回の解説ニュース
Webサイトに不正アクセスがあり、クレジットカード情報が漏洩してしまったということです。クレジットカード情報を窃取する際に行われるペイメントアプリケーションを改ざんする手口や、Webサイトの運営者ができるセキュリティ対策について説明します。
今回のインシデントは、一部のクレジットカード会社からWebサイトを利用した顧客のカード情報の漏えい懸念について連絡があり、第三者調査機関による調査を開始したところ、顧客のカード情報と個人情報が漏えいし、一部顧客のカード情報が不正利用された可能性が確認されました。原因として、当該サイトのシステムの一部の脆弱性を利用した第三者の不正アクセスでペイメントアプリケーションが改ざんされたことが挙げられています。
対策として、当該サイトでのカード決済を停止し、カード会社と連携し漏えいした可能性のあるカードの取引のモニタリングを継続して実施しています。並行して顧客に対しても、身に覚えのない項目があった場合はカード会社に問い合わせるよう呼びかけています。また、個人情報保護委員会、総務省関東総合通信局、所轄警察署に報告と被害申告を行っています。
再発防止策として、今後の調査結果を踏まえてシステムのセキュリティ対策と監視体制の強化を行うということです。
後を絶たないペイメントアプリケーション改ざんによるカード情報漏えい
ペイメントアプリケーションを改ざんするためには、サーバ内のファイルを書き換える権限が必要です。不正に権限を取得する方法のひとつとして、管理者に簡単なパスワードが設定されていたり、クロスサイトスクリプティングが悪用されたりすることが挙げられます。今回のインシデントについて詳細は公開されていませんので、あくまでも一般論として説明します。
まず、Webサイトを円滑に運用するためには、CMSが活用されることがあります。CMSとはコンテンツマネジメントシステムの略で、権限の異なる複数の管理者や投稿者によってWebサイトを統合的に管理するシステムです。技術的な知識がなくても、コンテンツを用意できればWebサイトを運用できるため、多くのサービスで利用されています。
CMSにはファイルをアップロードする機能があり、その権限を持つアカウントは適切に保護する必要があります。アカウントはIDとパスワードで守られていることが多いため、第三者が推測できるパスワードを設定していると、ファイルをアップロードする機能が悪用されて、ペイメントアプリケーションが改ざんされてしまう可能性があります。
また、パスワードを適切に設定していても、CMSにクロスサイトスクリプティングの脆弱性があると、攻撃されたユーザのセッションが乗っ取られてしまう可能性があります。具体的には、攻撃者が送ったメールに書かれた罠サイトへのリンクをクリックしてしまうと、CMSのクロスサイトスクリプティングが実行されることで、リンクをクリックした被害者の権限が攻撃者に奪われてしまう場合があります。被害者がファイルアップロードの権限を持っていた場合、ペイメントアプリケーションが改ざんされる可能性があります。
なお、SQLインジェクションやその他の脆弱性も、攻撃者がファイルをアップロードできることに繋がれば、ペイメントアプリケーションが改ざんされる可能性がありますので、注意が必要です。
その他のトピック