ここから本文です

「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説

2019/12/9(月) 13:17配信

ITmedia NEWS

 ECサイトからクレジットカードや個人情報などの情報漏えいが相次いだ2019年。記憶に新しいところでは象印、19年前半ではヤマダ電機などのECサイトからクレジットカード情報が漏えいした。セキュリティ専門家の徳丸浩氏は、「情報漏えい事件が急増した1年だった」と振り返る。情報を盗もうとする攻撃者の最新手口については「自分でも気付けるか分からない」と状況は深刻だ。

【解説スライド】偽の決済画面表示による攻撃手法

サイトはクレジットカード情報を保持していないのに……

 徳丸氏は、19年に目立った攻撃手法として「入力画面の改ざん」と「偽の決済画面」という2つの手法を挙げる。

 これらの攻撃を受けるECサイトは、決済方法について2種類に分けられる。1つは、クレジットカード情報をECサイトの画面で受けつつも直接決済サーバに送り、決済サーバからECサイトのサーバに返ってきたトークンを使って決済処理を行う「トークン型」。もう1つは決済自体を決済会社側で行う「リダイレクト型」だ。

 「これら2つの決済方法は、いずれもECサイト側でクレジットカード情報を保持していない」と徳丸氏は解説する。

 「2018年6月に割賦販売法が改正された。この際に、ECサイトのクレジットカード番号非保持化が定められた」

 従来のECサイトでは、各サイトのデータベースにクレジットカード情報が保存されていたため、「SQLインジェクション」やバックドア攻撃などでセキュリティ的に脆弱なサイトのデータベースから情報を直接盗むことができた。

 しかし18年6月以降、各ECサイトのデータベースにクレジットカード情報は保存されていない。このような状況でなぜ、クレジットカード情報の漏えいが起こるのか。

 徳丸氏は、ECサイトのシステム管理がずさんな現状を指摘する。

普及している「バージョン2」に“難”あり

 ECサイトを構築するためのシステムとして、「EC-CUBE」というコンテンツ管理システムが広く用いられている。「最新バージョンは4系だが、バージョン2系が特に広く普及している」と徳丸氏は話す。攻撃で狙われているのはこの「バージョン2系」だという。

 徳丸氏は、バージョン2で構築したデモ用ECサイトを実際に攻撃しながら手法を説明する。

○入力画面の改ざん ECサイト内の入力から番号が盗まれる

 まず、決済方法にトークン型を用いていた場合。攻撃者は、ECサイト管理者が間違って誰でも見られる状態にしてしまっている「あるページ」から情報を抜き、管理コンソールにログイン。手順を踏んでバックドアを設置し、決済画面でクレジットカード番号を入力する欄に10行程度の攻撃コードを追加する。

 これにより、ユーザーが入力欄に番号を入力すると、番号が攻撃者のサーバにも送られることになってしまう。

○「見破るのは実質不可能」 偽の決済画面による抜き取り

 次に、決済方法にリダイレクト型を用いていた場合。バックドアの設置までは同様の手順だが、リダイレクト型ではECサイト上で番号を入力しないため、ECサイト上の入力から盗み取ることはできない。そこで攻撃者は、偽の決済画面を表示するWebサイトを用意する。

 本来なら正規の決済サーバへ遷移するところを、攻撃者は偽のサーバへの遷移に書き換える。偽の決済画面に各種情報を入力させた上で、「決済エラー」の画面を表示し、正規の決済サーバへ再遷移。

 最終的には正規のサーバで決済が完了するので、商品は通常通りにユーザーの手元に届く。「決済エラー」に違和感を持たない限りは、ユーザーは自分のクレジットカードなど各種情報が盗まれたことに気付かない。

 徳丸氏は、「ECサイトのドメインは覚えていても、決済業者のドメインまでは普通覚えていない。見破るのは実質的に不可能。私自身も気付ける自信はない」と話す。

1/2ページ

最終更新:2019/12/9(月) 14:31
ITmedia NEWS

こんな記事も読まれています

あなたにおすすめの記事