「オリーブ牛の肉のヒガシハラ」に不正アクセス、1,703 名のカード情報が漏えい
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を一部抜粋しご紹介します
今回の解説ニュース
オンラインショップのペイメントアプリケーションが改ざんされ、顧客のクレジットカード情報が漏洩してしまったということです。今回は、ペイメントアプリケーションの改ざんに気が付く方法と、クレジットカードの不正利用について、利用者側でできる対策について説明します。
今回のインシデントは、顧客のカード情報と個人情報が漏洩し、カード情報が不正利用された可能性を調査結果で確認したというものです。原因として、一部のクレジットカード会社から当該オンラインショップを利用した顧客のカード情報の漏えい懸念について連絡があり、同日内にカード決済を停止し、第三者調査機関による調査を開始したところ、当該サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスでペイメントアプリケーションの改ざんが行われたことが挙げられています。
対策として、対象の顧客に別途、メールまたは書状にて個別に連絡を行っています。また、監督官庁である個人情報保護委員会への報告と所轄警察署への被害申告を行っています。既に、カード会社と連携し漏えいした可能性のあるカードの取引のモニタリングを継続して実施していますが、顧客に対しても、カード利用明細に身に覚えのない項目があった場合はカード会社に問い合わせるよう呼びかけています。再発防止策として、調査結果を踏まえてシステムのセキュリティ対策と監視体制の強化を行うということです。
ペイメントアプリケーションの改ざんに気が付く方法
オンラインショップのペイメントアプリケーションが改ざんされた場合、運営者側と利用者側の両方で、気が付くことができる可能性があります。
運用者側の場合、ファイルの整合性チェックによって、改ざんを検知できる場合があります。定期的にペイメントアプリケーションのファイルのハッシュ値を保存し、変化がないか比較します。もし、ハッシュ値が変化していれば、ファイルが改ざんされた可能性がありますので、管理者へアラートを通知することで、運営者側で気が付くことができる場合があります。
利用者側の場合、いつもと違う決済画面で、改ざんを検知できる場合があります。オンラインショップで決済をする際に、いつもと違った入力画面になっており、通常では必要性のないタイミングでクレジットカード情報やパスワードの入力を求めらている場合、ペイメントアプリケーションが改ざんされている可能性がありますので、利用者側で気が付くことができる場合があります。
ただし、決済画面の見た目に変更なくペイメントアプリケーションが改ざんされる場合もありますので、運営者側での検知が基本となります。