ペイメントアプリケーションの改ざんとは、カード情報入力フォームを改ざんして、ユーザーが入力中のクレジットカード情報を盗む手口の一つです。タリーズコーヒージャパンは2024年10月3日、5万2958件のクレジットカード番号やセキュリティコードなどが漏洩した可能性があると発表し、原因は「ペイメントアプリケーションの改ざん」と発表しました。10年以上前からある手口ですが、最近でもカード情報を盗まれる被害が後を絶ちません。
タリーズの公式サイトによると、2024年5月20日、警視庁より個人情報漏洩について連絡を受け、第三者調査機関によるフォレンジック調査をしたところ、これまでに「タリーズ オンラインストア」で2020年10月1日~2024年5月23日に会員登録した顧客の個人情報と、2021年7月20日~2024年5月20日に「タリーズ オンラインストア」で使用したクレジットカード情報が漏洩している可能性があることが分かりました。
原因について、「タリーズ オンラインストアのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため」と説明しています。
漏洩の可能性がある個人情報は2020年10月1日~2024年5月23日に「タリーズ オンラインストア」において会員登録した9万2685人に上るほか、漏洩の可能性があるクレジットカード情報は、2021年7月20日~2024年5月20日の期間中に「タリーズ オンラインストア」でクレジットカード決済をされた5万2958人に上ります。
漏洩した可能性のあるカード関連の情報は以下のとおりです。
タリーズでの被害が拡大した背景に、ペイメントアプリケーションの改ざんの特徴があります。手口は以下の通りです。
悪意のある第三者が、通販サイトの脆弱性を利用して改ざんし、入力フォームで利用者がクレジットカード情報を入力して確認ボタンを押すと、カード情報が外部のサーバーにも送られてしまうJavaScriptを設置します。
このとき、注文は正常に処理されるため、発覚するまでに時間がかかりやすいという特徴があります。また、入力情報そのものを盗むため、カード番号と同時にセキュリティコードまで盗まれてしまうため、金銭的被害が出やすいという側面もあります。
最近のペイメントアプリケーションの改ざんによるおもな被害一覧です。
このうち、全漁連のサイトは不正アクセス被害をきっかけに閉店に追い込まれました。
経済産業省が公表している資料は「利用者の多いECパッケージは、攻撃側に脆弱性を熟知されており、攻撃側にとって、より効率的に攻撃できることから、攻撃の対象となりやすい」とも指摘しています。
クレジットカード加盟店は2018年に施行された改正割賦販売法で「カード情報の非保持化」または「PCI DSS準拠」が義務付けられました。このとき、多くの店舗はカード情報の非保持化を選択しました。
経産省は「非保持化により、1事案あたりの漏えい件数は減少したが、非保持化には不正アクセス自体を防止する効果はないため、漏えい事案は増加傾向にある」と指摘。根本的な解決には至っていないとしています。
不正アクセス被害を防ぐには、まず、ECサイトの脆弱性対策が必要です。とくに中小企業の場合、費用の安さやカスタマイズの自由度からオープンソースのECサイト構築パッケージを使う事例が少なくありません。ただし、この場合、セキュリティ対策は自社で取り組む必要があることを認識する必要があります。
情報処理推進機構(IPA)の公式サイトを参考に、セキュリティ対策に取り組んでください。
また、不正アクセスから漏えい検知までの期間が長期化し、漏洩件数が増えているため、経産省は「EC加盟店による漏えい(改ざん検知)の早期検知が必要ではないか」とも指摘しています。たとえば、ウェブアプリケーションに対する攻撃を検出・防御する「ウェブ・アプリケーション・ファイアウォール(WAF)について情報を集めてみましょう。
おすすめのニュース、取材余話、イベントの優先案内など「ツギノジダイ」を一層お楽しみいただける情報を定期的に配信しています。メルマガを購読したい方は、会員登録をお願いいたします。
朝日インタラクティブが運営する「ツギノジダイ」は、中小企業の経営者や後継者、後を継ごうか迷っている人たちに寄り添うメディアです。さまざまな事業承継の選択肢や必要な基礎知識を紹介します。
さらに会社を継いだ経営者のインタビューや売り上げアップ、経営改革に役立つ事例など、次の時代を勝ち抜くヒントをお届けします。企業が今ある理由は、顧客に選ばれて続けてきたからです。刻々と変化する経営環境に柔軟に対応し、それぞれの強みを生かせば、さらに成長できます。
ツギノジダイは後継者不足という社会課題の解決に向けて、みなさまと一緒に考えていきます。
