…というのは、実は数年前までのお話です。最近、そのような「決済は外部に任せる」というECサイトですら、クレジットカード番号やセキュリティコードを含む情報漏えい事件を起こしてしまっているのです。一体どういうことなのでしょうか?
“保存していないはずの情報”が、なぜ漏えいしてしまうのか?
情報漏えいに対する最大の防御策は「そもそも漏えいしては困るような情報を持たない」ことのはず。それなのに、持っていないはずの情報が漏れるとは、一体どういうことでしょうか。
米国のセキュリティベンダー、シマンテックは、定期的に発行している「シマンテック インターネット セキュリティ脅威レポート第24号」の記者説明会で、2018年に増加した手法「フォームジャッキング」を取り上げました。
フォームジャッキングとは、Webサイトの「入力フォーム」を改ざんすることで、入力した内容を奪取する攻撃手法です。同レポートでは、容易に金銭を奪取する方法としてフォームジャッキングがサイバー犯罪者に認知され、オンラインショッピングの利用が多い11月と12月に特に多く観測されたとしています。
この状況は決して対岸の火事ではなく、日本国内においても多数の報告が上がっています。例えば、2018年10月にSOKAオンラインストアで発生した個人情報の不正取得では、調査の結果、下記の事象が確認されています。
◇ ◇ ◇
弊社が当該サイトの運営を委託しているトランスコスモス株式会社が契約しているサーバに対して、7月30日に不正ファイルを混入され、プログラムが改ざんされました。そのためお客様が商品を購入する際に、偽のカード決済画面に遷移する仕組みとなっており、カード情報を不正に取得された可能性があることが発覚しました。
また、偽のカード決済画面にてカード情報を入力して送信ボタンを押すとエラーが表示され、本来の当該サイトの画面に転送されるという非常に巧妙な仕組みになっておりました。
◇ ◇ ◇
この攻撃がどう行われるのか、クレジットカードの決済を外部委託しているECサイトの一般的なプロセスから説明しましょう。ユーザーはECサイトにログインし、実際に購入する際に外部の決済事業者のページに遷移し、クレジットカード情報を入力します。ところが、今回はECサイト自体に侵入、改ざんが行われ、本来ならば決済事業者のページに遷移すべきところを「サイバー犯罪者が用意した偽のカード決済画面」に遷移する仕組みが用意されてしまったのです。
