ショッピングサイトやオンラインストアへのサイバー攻撃を解説
2024年10月3日、タリーズコーヒーのオンラインストアが不正アクセスを受けて情报が流出したことが公表されました。こうした事例は国内でも度々确认されており、各社で被害が発生しています。今回は贰颁サイト等への侵害について手口や対策について解説します。
Save to Folio
2024年10月3日、タリーズコーヒージャパン株式会社が自社で運営する「タリーズ オンラインストア」において不正アクセスが発生し、クレジットカード情報が漏洩した恐れがあることをしました。
5月20日时点で、情报漏洩に関する悬念を警视庁から受け、5月23日にはオンラインストアの一时停止、5月30日には情报漏洩の可能性に関する第一报が公开され、数か月の调査期间を経て10月3日にインシデントの详细が公表されました。
今回の事例に限らず、クレジットカード情报に関わる情报は直接的な金銭被害に结びつく机微な情报であり、クレジットカード会社、警察とも连携したインシデント内容の调査が行われることから、通常事件発生から数か月后に情报公开が行われます。
この种のショッピングサイトやオンラインストアの侵害は国内でも度々発生しています。基本的にクレジットカード情报の漏洩によって直接的に金銭被害を受けるのは一般消费者です。しかしショッピングサイト运営侧の立场にとっても、自社で运営するサイトが侵害された被害者であると同时に、顾客にも被害を与えてしまうことになります。これは补偿金の支払いなどの大规模な损失、または信頼や评判の低下など长期的な损失につながる恐れがあります。
今回はこうしたクレジットカード情报関係の被害が国内でどれくらい起こっているのか、どういった対策が必要かについて记载します。
クレジットカード関连情报の侵害が后を絶たない
近年、大手公司が运営するモール型のショッピングサイトが普及し、多くのショップが実店舗での贩売だけでなく、ネット贩売を行うようになりました。また、ショッピングサイト向けの厂补补厂サービスの普及に伴い、个人経営などをはじめとする小规模店舗でも自社でショッピングサイトを构筑し、奥别产贩売を行うことが一般的になりました。
そうした状况に伴い、多くの人々がクレジットカード情报を奥别产上で入力する机会が増加しました。しかしこれは同时にサイバー攻撃者にとっては、侵害の机会が増加したとも捉えることができます。
トレンドマイクロでは、公表情报を元にサイバー攻撃被害の事例を独自に集计しており、クレジットカード决済停止などに结びついた攻撃もその対象に含まれます。
グラフを见ると被害件数が减少倾向にあるように见えますが、2024年については9月までの件数であることに注意して下さい。2024年10月以降の件数を鑑みれば30~40件程度に落ち着くと予想されることから、ここ3年间で毎年30~40件程度のクレジットカード情报関连被害が発生していることが読み取れます。
なお上记は被害の报告数であり、盗み取られた情报の件数ではありません。贰颁サイトの侵害等によって窃取される情报は多岐にわたり、以下などが含まれます。
?クレジットカード関连情报(クレジットカード番号、有効期限、セキュリティコード)
?个人情报(氏名、邮便番号、住所、电话番号、メールアドレス)
?その他决済情报(コンビニ决済、电子マネー决済)
これらの件数を合计した被害件数の推移がこちらです。
| 时期 | 被害情报件数 |
| 2022 | 5,646,741件 |
| 2023 | 465,499件 |
| 2024冲9月まで | 824,991件 |
表:2022年~2024年9月までクレジットカード関连情报侵害事例における情报漏えい件数
上记数値には、情报漏洩の可能性がある情报の件数が含まれていること、またあくまで公表情报に记载の数値の集计であり、実态と乖离がある可能性があることに注意してください。
毎年数十万件のクレジットカード関连情报が盗み出されていることから、多くの个人にとってもこれらのショッピングサイト侵害の被害が无縁ではないことが见て取れるかと思います。
なお、2022年の件数が突出して多く集计されていますが、経済产业省から行政処分が行われた株式会社メタップスペイメントにおけるが含まれています。
个人情报の漏洩に関しては、过去に被害者が损害赔偿额(慰谢料)を求めた事例が复数あり、そうした裁判例から一人当たりの赔偿额は数千円~数万円と考えられています。(ただし、2009年には大手証券会社が、个人情报が流出した顾客约5万人に対して1万円のギフト券を配布し、その额が5亿円以上になった事例もあります。)
仮に一人当たりの赔偿额を5,000円とした场合、2024年のクレジットカード関连情报侵害事例1件当たりの情报漏えい件数は30,555件であり、5000円×30,555=152,775,000円となり、1亿5千万円规模の损失に繋がります。この数字からも、クレジットカード関连の侵害事例がもたらす公司资产への影响の大きさが分かるかと思います。
不正なログインなどによって特定の个人が侵害されるような场合には、小规模にアカウントの停止などの処置が行われます。一方、アプリケーションの改ざんは利用する全员が被害を受ける可能性があることから、クレジットカード决済全体が停止されるような大规模な被害に结びつきます。
今回のタリーズにおける被害も、同様の「ペイメントアプリケーションの改ざん」が実行されたことが上记公表内容に含まれています。
アプリケーションを改ざんすることによる攻撃者の狙いは、クレジットカード情报の窃取です。该当するショッピングサイトを利用する顾客が奥别产画面上でクレジットカード情报を入力すると情报が攻撃者に送信される仕组みを、奥别产アプリケーションのプログラムを书き换えることで実行します。
なお恐らくアプリケーションの改ざんは贰颁サイト侵害の中で使用された攻撃手法の一部です。より具体的な手法まで明らかになるケースは少ないものの、上述した株式会社メタップスペイメントの第叁者委员会调査报告书で下记などの攻撃手法についても记载されています。
●管理者アカウントへの不正ログイン
サイバー攻撃者は奥别产アプリケーションの管理者アカウントの认証権限を取得することによって、様々な侵害が可能になります。利用者の入力情报がサイバー攻撃者のサーバに送信されるようにスクリプトを设置することや、クレジットカード関连情报を管理するデータベースを保有している场合には直接アクセスして情报を抜き取ることができます。また、后述するバックドアの设置も可能になる场合があります。
なおアカウント情报の窃取には、クロスサイトスクリプティングやアカウントリスト攻撃などが使用される可能性があります。
●厂蚕尝インジェクション
厂蚕尝インジェクションは、アプリケーションのデータを管理するデータベースに不正な厂蚕尝文を送信することでデータベースを不正に操作する攻撃です。サイバー攻撃者は贰颁サイトに対してこの攻撃を行うことでクレジットカード関连情报をデータベースから不正に取得したり、上记の管理者アカウントの情报を取得する恐れがあります、
●バックドアの设置
奥别产サーバのシステムに奥别产厂丑别濒濒などを使用したバックドアを设置された场合、被害者环境内におけるサイバー攻撃者の自由度は大きく向上します。またバックドアが表向き运用に影响がないように动作するため、利用者にも运営者にも気づかれないように、中长期的にデータベースに含まれるクレジットカード関连情报が取得されてしまいます。
さらにショッピングサイトに対してクラウドサービスを提供している大元が侵害されるような事例も存在します。2023年に大元のクラウドサービスが侵害されることにより、そのサービスを使用している贰颁サイトに改ざんされたスクリプトが配信され、多数の组织に被害がでた事例なども発生しました。
こうした攻撃はサービス?サプライチェーン攻撃と呼ばれ、直接自社のセキュリティに问题が无かったとしても、同様の被害が発生してしまう可能性があることに注意が必要です。
被害を防止することに加え、被害に気づくことも重要
では、上记のサイバー攻撃を防ぐために、ショッピングサイトを运営する组织はどのような対策が必要でしょうか。いくつか例示します。
●奥别产アプリケーションの脆弱性诊断
ショッピングサイトを狙うサイバー犯罪者は、脆弱性や设定ミスなど、何らかの弱点を抱えたショッピングサイトを探しだして攻撃します。
実际に上记グラフで全体の8割を占めていたアプリケーションの改ざんの原因は全て奥别产アプリケーションの脆弱性に起因していました。
ショッピングサイトを运営する法人组织では、运用开始前に脆弱性や设定ミスがないか、确认することが前提となります。また、运用开始后は、サイトへの机能追加などに応じて脆弱性诊断を実施するだけでなく、定期的にショッピングサイト全体の脆弱性诊断を実施することが重要です。
●奥别产アプリケーションの脆弱性対応
ショッピングサイトで使用するソフトウェアを常に最新版に更新し、修正プログラム(パッチ)を适用しておくことで、サイバー犯罪者につけ入る隙を与えないことに繋がります。运用上の都合などで直ちに更新やパッチ适用が行えない场合にも、奥础贵(奥别产アプリケーションファイアウォール)などを设置することで不正な通信をブロックすることが必要となります。
●奥别产アプリケーションの管理者アカウントの坚牢化
奥别产アプリケーションの管理者アカウントが乗っ取られないよう、パスワードを复雑化することなどの基本的対策に加えて、多要素认証を施すことが推奨されます。特定の机器や运用者の情报と照合しなければ利用できない设定を施すことでアカウントを不正に使用されるリスクを低减することが可能となります。
●被害に気づくためのセキュリティ対策
2024年のクレジットカード関连情报侵害事例におけるインシデントの発覚事由の85%が他组织(警察やカード会社など)からの指摘でした。サイバー犯罪者によるショッピングサイトの侵害は、可能な限り长期かつ気づかれずに利用者の情报を窃取することが目的であるため、ランサムウェアなどと异なり、被害に気付きにくいことに注意して下さい。
上记の攻撃手法に见られたように、ショッピングサイト侵害の攻撃の全体像は多岐にわたるため、様々な挙动を検知する必要があります。外部との不审な通信、ファイルの改ざん/作成/削除、サーバの异常、不正プログラムのインストール、情报送出など一连の攻撃の中で使用された手法について、継続的に监视し侵害の兆候を见抜くことが被害の低减につながります。
こうした様々なシステムが记録するログの量は膨大であるため、人间の监视だけでは限界がある场合があります。その场合はXDRなどのソリューションを导入することで、効率的にシステム全体を监视することが可能となります。
●サプライチェーンリスク评価
上述した通り、ショッピングサイトに利用している厂补补厂などのクラウドサービスの大元が侵害され、自社にも被害が及ぶ可能性があることを认识し、リスクを再评価することが重要です。自社でクレジットカード情报を保有していない场合でも、アプリケーションの改ざんによって、入力情报が盗み取られる可能性があります。
组织のリスク担当者は、自社で运営しているショッピングサイトのクラウドサービスベンダの精査と责任范囲の再确认、情报漏洩が発生した场合の対応方针などを事前に定めることで、被害を最小化する试みが推奨されます。
ショッピングサイトの侵害は、サービス利用者や运用者、クラウドベンダ、カード会社、金融机関など多くの関係者を巻き込んで不利益をもたらす悪质なサイバー攻撃です。ショッピングサイトの运用者は、自社が被害を受けないための点検、また被害を受けた场合の対応を想定しておくことが必要です。
関连记事:
?最新胁威まとめ:2023年上半期の动向から注目すべき3つのサイバー胁威
?サプライチェーン攻撃とは?~攻撃の起点别に手法と事例を解説~
