ECサイトを制作された事のあるウェブ制作会社様、ECサイトを運用している一般企業様は当メルマガをお読みの会社様でも少なくないかと思います。
ECサイトで情報漏洩の事件が後を絶たないのは御存知の通りかと思います。特に問題になるのはクレジットカード情報になるのですが、数年前からクレジットカード情報非保持が義務付けられているにも関わらず漏洩してしまうのは何故なのでしょうか?
実は、以前はSQLインジェクションによる漏洩が大半でした。クレジットカード情報が保持されているサイトからだと、この手口が一番簡単で大量の情報を盗み出す事ができるからです。
実は、筆者も昔使っていたレンタルサーバー会社から、この手口でクレジットカード情報を盗み出され悪用された経験があります。有効期限が切れているとの理由で漏洩させたレンタルサーバー会社からの補償は一切無かったのですが、未だにセキュリティコードを求めないECサイトがあるらしく、そこで悪用されました。有効期限については一般的にクレジットカードの更新が5年毎のため推測が可能になっていたり、あるいは、有効期限チェックを行っていないECサイトもあったりします(有効期限チェックは加盟店側の責任で行われるのだそうです)ので、期限切れであっても悪用されてしまうんですね。
さて、先に書いたとおり今はクレジットカード情報の非保持が義務付けられているのでSQLインジェクションによる漏洩は発生しなくなっています。が、以下のようなパターンで漏洩するケースが後を絶ちません。
- 決済画面が改竄されて悪意のJavaScriptが仕込まれてしまう
- ECサイト上に偽の決済画面を仕込まれてしまう
- サーバーが乗っ取られデバッグログが漏洩してしまう
いずれも、ECサイトもしくはサーバーに脆弱性があるために発生してしまうわけですが、その脆弱性が放置されているサイトというのが一般のサイトも含めると少なくないのが実情なんですね。また、決済代行会社を使っていても漏洩してしまうのが実態です。
最近はCMSのプラグイン(アドオン)としてECサイト用のプラグイン(アドオン)を使われるケースも増えてきました。が、ウェブサイトの保守を任されている会社や担当者の意識の中に「セキュリティ」の文字が欠けているため、制作された当初からアップデートがされていないサイトが多々見受けられます。その為に脆弱性が発生してしまい先に述べたような「改竄」等が行われ情報漏洩に繋がるという事例も発生するわけです。
あと、見逃しがちなのが「サーバーの保守」ですね。
サイトの保守は定期的に行っているという所もあるみたい(本当は定期的に行うのではダメなんですけど)ですが、サーバーの保守については行われていないケースもあるみたいです。その為に、サーバーの脆弱性を突いて乗っ取られてしまうケースも見受けられます。
その他、ウェブ制作会社様で用意したサーバーにサイトを置いているケースでは、権限設定が不適切で同一サーバー上に多数のサイトを設置している場合に、一つのサイトに穴があると他のサイトもまとめて改竄されてしまう事例というのも良く見かけます。
いずれにしても、ECサイトでのクレジットカード情報の漏洩を防ぐには適切な保守運用が重要であり、そこを怠れば容易に漏洩事件が発生してしまうのだという事を知っておく必要があるかと思います。