全3252文字

PR





本特集は、日経コンピュータの看板コラム「動かないコンピュータ」の過去記事の中から、セキュリティー関連の事例を14本取り上げていく。トラブルの真相から、今後のリスク回避につなげてほしい。今回は7pay問題に揺れるセブン＆アイ・ホールディングス傘下のセブンネットショッピングだ。

セブンネットショッピングは2013年10月、同社のEC（電子商取引）サイトがなりすましによる不正アクセスを受け、最大15万件のクレジットカード情報が流出した恐れがあると発表した。被害ユーザーを特定できなかったことから、約150万人のユーザーに警告を出す事態となった。

セブン＆アイ・ホールディングス傘下で、EC（電子商取引）サイトを運営するセブンネットショッピングは2013年10月23日、同社のECサイトがなりすましによる不正アクセスを受け、顧客情報が流出した恐れがあると発表した。最大15万165件の氏名や住所、電話番号、クレジットカードの番号や有効期限といった情報が盗まれた可能性がある。

同社が大量の不正アクセスを受けたのは、2013年4月から7月にかけて。攻撃者が正規のユーザーになりすまして、同社のECサイトに繰り返しログインしていた。同社のECサイトには、ログインした状態であれば、ユーザーが登録したカードの番号や有効期限を攻撃者が閲覧できてしまうという、セキュリティ上の欠陥があった。この欠陥を悪用した攻撃者が、カード情報を盗み出した。

情報流出の発覚後、同社はカード情報を登録していた約150万人のユーザーに対して「カード情報が盗まれた恐れがある」とメールで注意を呼びかけた。同社はECサイトのアクセスログを適切に記録しておらず、被害を受けたユーザーを特定できなかった。結果、カード情報を登録していた全ユーザーに、警告を出さざるを得なかった。警告を受けて、カード番号を変更したユーザーも多い。

セブンネットの原田良治取締役は、「被害を特定できなかったことから、多くのお客様にご迷惑とご心配をおかけした。このようなことが二度と起きないよう、厳重に注意する」と反省の弁を述べる。

カード会社からの警告が発端

同社がECサイトへの攻撃に気付いたきっかけは、2013年6月にクレジットカード会社から「カード情報がセブンネットから流出している懸念がある」と連絡を受けたことだった。カード会社の調査で、カードを不正利用された被害者の共通点として、セブンネットの利用履歴があることが浮かび上がったもようだ。

連絡を受けたセブンネットはまず、ECサイトに欠陥が無いか社内調査を行った。しかし、独力では欠陥を見つけられなかったため、カード会社から専門のフォレンジック（情報の収集・分析）会社の調査を受けるよう推奨された。専門家の調査を受けたところ、2013年7月下旬になって、ECサイトの「いつもの注文」というページに、カード情報を漏洩させる問題があることが分かった。

「いつもの注文」は、ユーザーが決済に使うカード情報を登録したり、編集したりするページである。ページはユーザーごとに用意されている。カード決済システム用の国際的なセキュリティ基準である「PCI DSS（PCIデータセキュリティ基準）」では、Webサイト上などでカード番号を表示する際には、ユーザーに対して最大で4ケタしか表示しないよう求めている。そこで同社も、「いつもの注文」の画面上では、カード番号の末尾4ケタだけを表示するようにしていた。

この手順に問題があった。同社は「いつもの注文」のページのHTMLソースに、カード番号の16ケタ全てと有効期限を記載。その情報をWebブラウザ上で「マスキング処理」したうえで、末尾4ケタのみを表示するよう加工していたのだ。

そのため、ブラウザ画面上では表示されないものの、HTMLソースをPCで読み込めば16ケタのカード番号が見られる状態になっていた。本来であればマスキング処理はサーバー上で行い、HTMLソースに記載する情報も末尾4ケタのみに限定してブラウザに送信すべきなのに、同社はそれをしていなかった。この脆弱性は、現在のECサイトを構築した2003年から存在していた。

今回の攻撃では、セブンネット以外のWebサイトが流出させたユーザーIDやパスワードを攻撃者が使い、セブンネットへのなりすましアクセスを試み、「いつもの注文」のページからカード情報を盗み出していたと考えられる。なりすましアクセスを複数のユーザーIDに対して繰り返し行い、大量のカード情報を盗み出した。