ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
https://news.mynavi.jp/article/20221122-2519741/
https://www.wacom.com/ja-jp/about-wacom/news-and-events/2022/1484
ニュース概要
– 11月21日、ワコム社より、同社運営の「ワコムストア」が不正アクセスを受け、個人情報およびクレジットカード情報が流出した可能性があると発表されました。
– 発表によれば、2022年2月19日~4月19日に同サイトで決済に使用されたクレジットカード情報最大1,938件(名義・番号・有効期限・セキュリティコード・メールアドレス)について、ペイメントアプリケーションの改ざんにより不正に外部に送信された可能性があるとしています。
– また、過去に同サイトを利用したユーザー最大147,545名の個人情報(氏名・住所・電話番号・メールアドレス等)についても、2021年2月22日~2022年4月19日にかけての不正アクセスにより流出していた可能性があることが判明しています。
AUSからの所感
同サイトではクレジットカード情報を保持しない仕様でしたが、改ざんにより、決済時に入力されたカード情報が外部に送信される状態となっており、近年のECサイトからのクレジットカード情報漏洩における主要な手口がとられた形です。
独自にECサイトを立ち上げる際は、Webアプリケーションやサーバーの脆弱性について確実に修正・対策を行い、利用しているフレームワーク等についても随時最新のバージョンに保つこと、加えて攻撃の形跡・兆候を検知・遮断するためのIDS・IPSおよびWAFの設置により、攻撃者による侵入や改ざんの余地をなくすよう努めることが重要です。
入力フォーム支援サービスを提供する外部企業が不正アクセスを受けたことにより、サービスを採用する複数のECサイトが被害を受けたケースもあり、指定された送信先以外に情報が送信されるのを防ぐ仕組みとして、既に主要なブラウザーに実装されているContent Security Policy(CSP)の活用が進むか、あるいは更なる新たな仕組みが実装されるのか等も注目されるところです。
