毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。
- 配信日:2024年10月10日
- タイトル:タリーズ オンラインストアで発生した情報漏えい(ウェブスキミング)
- スピーカー:DataSign(データサイン) 代表取締役社長 太田祐一、望月誠人
- MC:ビジネスディベロッパー 宮崎洋史
情報漏洩が拡大しやすいウェブスキミング
ECサイトなどを利用するユーザーの会員情報やクレジットカード情報を盗み出す「ウェブスキミング」という攻撃を受けると情報漏洩の被害が拡大する懸念があります。2024年10月3日、全国にコーヒーショップを展開するタリーズコーヒージャパンが、『弊社が運営する「タリーズ オンラインストア」への不正アクセスによる個人情報漏洩の恐れに関するお詫びと調査結果のご報告』と題する文書を自社サイトに公表しました。漏洩した可能性がある情報として、ある期間内にオンラインストアで登録した会員情報や同ストアでの決済に用いたクレジットカード情報が挙げられています。
ウェブスキミングは攻撃者がウェブサイトに悪意のあるコードを挿入し、ユーザーがウェブフォームに入力する情報を第三者へ向けて送信させ、その情報を窃取するサイバー犯罪です(オンラインスキミングなどとも呼ばれます)。
ランチタイムトークでもたびたび注意を喚起してまいりましたが、盗み取られたクレジットカード情報の不正利用が警察などに通報されてようやく自社のECサイトが標的になっていたことに気づくなど、情報漏洩の発覚までに長時間を要するためカード不正利用の範囲拡大や長期化のリスクがあります。なぜウェブスキミングは足がつきづらいのでしょうか? そして効果的な対策は? あらためて話題に取り上げました。
痕跡が残らない巧妙な手口
ウェブスキミングが発覚しづらい理由のひとつは、情報漏洩の痕跡がほぼ残らないことです。
「かつてオンラインストアがクレジットカード情報をデータベースなどのサーバーに保持するのが一般的だった時期は、サーバーに保存される情報を盗み取る手口が主流でした。一方、昨今ではクレジットカード業界のセキュリティ基準であるPCI DSSを遵守し、さらにクレジットカード情報自体を保持しないオンラインストアが増えています」(データサイン 望月誠人)
ところがウェブスキミングの攻撃者はデータベースなどに直接アクセスしないためログデータに履歴が残りません。企業のウェブサイトのシステムの脆弱性を突くなどして悪意のあるJavaScriptなどを設置し、決済がおこなわれるタイミングで情報を動的に抜き取り、攻撃者側のサーバーに送信する、といった攻撃をしかけます。
さらに設置に成功した悪意あるスクリプトを見抜かれたり、セキュリティソフトに検知されたりしないように加工する難読化技術を用いることが発覚しにくい理由に挙げられます。
サイト運営者側の対策は不可欠
ウェブスキミングの標的は、フィッシング詐欺と異なり、正規のサイトなので訪問するユーザーが自衛するのはきわめて困難です。罪を問われるべきはむろん攻撃者ですが、企業側も訪問するユーザーの信頼を損なわないため対策が不可欠です。個人情報保護委員会は2024年4月に個人情報保護法のガイドラインを改正することを公表しており、この改正によって、ウェブスキミングに対しても安全管理措置義務が課されることが明確になりました。
具体的な対策のひとつにはJavaScriptのscriptタグにintegrity属性を付与する方法があります。ハッシュ値の比較により改竄されたスクリプトの読み込みを防ぐことができますが、属性そのものを変更、削除される可能性もあり決定打とはいえません。
もうひとつの対策がコンテンツセキュリティポリシー(CSP:Content Security Policy)の利用です。ウェブサイトの情報送信先をホワイトリストで管理することで意図しない通信を遮断することができます。ただし、アクセス解析のために導入するGoogle Analyticsやマーケティングオートメーションツールなど必要な第三者への情報送信などを十分精査する登録作業やリスト更新などの運用管理の負荷がかかります。
なお、データサインが提供するwebtru(ウェブトルゥー)には同意管理ツールのノウハウを用いたウェブスキミング対策機能が用意されています。簡単かつリーズナブルに運用できるのが特徴です。
皆さまにはあらためて、自社が運営するECサイトのセキュリティなどを確認いただけるようお願い申し上げます。
