11/2号 ① ECサイトでカード情報流出相次ぐ…

セキュリティニュース

ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。

〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。

〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

ニュース概要

– 10月25日(日本時間)、Webマーケティング支援サービス等を提供するショーケース社より、同社サービスへの不正アクセスにより、複数のECサイトで情報漏洩が発生した可能性があると発表されました。

– 不正アクセスを受けたのは、入力フォーム支援サービス「フォームアシスト」、Webサイト表示最適化サービス「サイト・パーソナライザ」および「スマートフォン・コンバータ」で、サービスを利用する外部Webサイトに埋め込まれるソースコードが改ざんされたことが7月26日に指摘を受けて発覚したとのことです。

– 改ざんの影響により、ECサイトにおいてフォームに入力されたクレジットカード情報(カード番号・セキュリティコード等)の流出が相次いでおり、「ABCマート」で約2,300件、「富士フイルムイメージングシステムズ」2サイトでのべ1,370件、「カクヤス」で8,094件等とされています。

AUSからの所感

多数の企業が利用するサービスが侵害され、機密情報の流出が発生した事例としては、2021年5月に発生した富士通製プロジェクト情報管理ツール「ProjectWEB」への不正アクセス、またクレカ決済サービスではGMOペイメントゲートウェイ社への不正アクセス等が挙げられます。

ECサイト側が不正アクセスを受けたものではなく、サイトにアクセスしたユーザーに対し、改ざんされたプログラムはECサイトを経由せずに読み込まれる形となるため、このような攻撃をECサイト側で防御することは現時点では不可能に近いと思われます。

ソフトウェア開発者のアカウントを乗っ取る等の行為により、配布物にマルウェアを混入させる「サプライチェーン攻撃」の一種とみることができ、ユーザー側で防御することは非常に困難な攻撃の一つとされており、今後発表されるであろう改ざんに至った不正アクセスの詳細を他山の石とし、組織内のシステムやアカウント管理の徹底を行うことにより、ユーザーが被害を受ける可能性を抑えることが肝要です。