ペイメントアプリケーションの改ざんとは　タリーズでもカード情報が漏洩

2024.10.05 (最終更新：2024.12.10)

ペイメントアプリケーションの改ざんの手口（経産省の資料から　https://www.meti.go.jp/shingikai/mono_info_service/credit_card_payment/pdf/002_03_00.pdf）

　ペイメントアプリケーションの改ざんとは、カード情報入力フォームを改ざんして、ユーザーが入力中のクレジットカード情報を盗む手口の一つです。タリーズコーヒージャパンは2024年10月3日、5万2958件のクレジットカード番号やセキュリティコードなどが漏洩した可能性があると発表し、原因は「ペイメントアプリケーションの改ざん」と発表しました。10年以上前からある手口ですが、最近でもカード情報を盗まれる被害が後を絶ちません。

タリーズオンラインストアの被害事例
「ペイメントアプリケーションの改ざん」とは
経産省「攻撃対象になりやすい」と注意
ECサイトでの不正アクセス被害を防ぐには

タリーズオンラインストアの被害事例

　タリーズの公式サイトによると、2024年5月20日、警視庁より個人情報漏洩について連絡を受け、第三者調査機関によるフォレンジック調査をしたところ、これまでに「タリーズオンラインストア」で2020年10月1日～2024年5月23日に会員登録した顧客の個人情報と、2021年7月20日～2024年5月20日に「タリーズオンラインストア」で使用したクレジットカード情報が漏洩している可能性があることが分かりました。

　原因について、「タリーズオンラインストアのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため」と説明しています。

　漏洩の可能性がある個人情報は2020年10月1日～2024年5月23日に「タリーズオンラインストア」において会員登録した9万2685人に上るほか、漏洩の可能性があるクレジットカード情報は、2021年7月20日～2024年5月20日の期間中に「タリーズオンラインストア」でクレジットカード決済をされた5万2958人に上ります。

　漏洩した可能性のあるカード関連の情報は以下のとおりです。

クレジットカード番号
カード名義人名
有効期限
セキュリティコード

「ペイメントアプリケーションの改ざん」とは

　タリーズでの被害が拡大した背景に、ペイメントアプリケーションの改ざんの特徴があります。手口は以下の通りです。

　悪意のある第三者が、通販サイトの脆弱性を利用して改ざんし、入力フォームで利用者がクレジットカード情報を入力して確認ボタンを押すと、カード情報が外部のサーバーにも送られてしまうJavaScriptを設置します。

↓ここから続き

　このとき、注文は正常に処理されるため、発覚するまでに時間がかかりやすいという特徴があります。また、入力情報そのものを盗むため、カード番号と同時にセキュリティコードまで盗まれてしまうため、金銭的被害が出やすいという側面もあります。

　最近のペイメントアプリケーションの改ざんによるおもな被害一覧です。

全漁連の「JFおさかなマルシェギョギョいち本店」でカード情報1.8万件漏洩か
「東京玉子本舗公式オンラインショップ」で6.5万件のカード情報が漏洩か
「東京ヴェルディ公式オンラインストア」から2726人分のカード情報流出か
老舗のマルカワみそからカード情報5447件漏洩か
ソースネクスト、11.2万人のカード情報漏洩か
洋菓子の「ヴィタメールオンラインショップ」、4.5万人のカード情報漏洩か
下鴨茶寮オンラインショップ、クレカ情報1.6万件が漏洩か
下着の「三恵通販サイト」、カード情報7万件超が流出か

　このうち、全漁連のサイトは不正アクセス被害をきっかけに閉店に追い込まれました。

経産省「攻撃対象になりやすい」と注意

　経済産業省が公表している資料は「利用者の多いECパッケージは、攻撃側に脆弱性を熟知されており、攻撃側にとって、より効率的に攻撃できることから、攻撃の対象となりやすい」とも指摘しています。

　クレジットカード加盟店は2018年に施行された改正割賦販売法で「カード情報の非保持化」または「PCI DSS準拠」が義務付けられました。このとき、多くの店舗はカード情報の非保持化を選択しました。

　経産省は「非保持化により、1事案あたりの漏えい件数は減少したが、非保持化には不正アクセス自体を防止する効果はないため、漏えい事案は増加傾向にある」と指摘。根本的な解決には至っていないとしています。

ECサイトでの不正アクセス被害を防ぐには

　不正アクセス被害を防ぐには、まず、ECサイトの脆弱性対策が必要です。とくに中小企業の場合、費用の安さやカスタマイズの自由度からオープンソースのECサイト構築パッケージを使う事例が少なくありません。ただし、この場合、セキュリティ対策は自社で取り組む必要があることを認識する必要があります。

　情報処理推進機構（IPA）の公式サイトを参考に、セキュリティ対策に取り組んでください。

　また、不正アクセスから漏えい検知までの期間が長期化し、漏洩件数が増えているため、経産省は「EC加盟店による漏えい（改ざん検知）の早期検知が必要ではないか」とも指摘しています。たとえば、ウェブアプリケーションに対する攻撃を検出・防御する「ウェブ・アプリケーション・ファイアウォール（WAF）について情報を集めてみましょう。