ヤマダ電機のオンラインサイト｢ヤマダウエブコム・ヤマダモール｣で不正アクセスによりクレジットカード情報が盗まれる事態が発生した。決済系のウェブアプリケーションを狙った攻撃は流行しているが、専門家は｢利用者側の対策は困難｣としており、事業者側の対策が急務だ。

ヤマダ電機の発表によると、ヤマダウエブコム・ヤマダモールに不正アクセスが行われ、決済アプリケーションが改ざんされた結果、クレジットカード情報が流出。期間は3月18日から4月26日までで、その間に｢新規クレジットカード登録、及びクレジットカード登録の変更｣をした利用者最大3万7832人の情報が窃取された可能性がある。

盗まれた情報は｢クレジットカード番号｣、｢クレジットカードの有効期限｣、｢セキュリティコード｣だ。

ヤマダウエブコムで何が起こったのか？

ヤマダ電機の発表から推定すると、決済アプリケーションの改ざんによってクレジットカードの登録・変更画面で入力した情報が、そのまま攻撃者のサーバーに送信されるようになっていたとみられる。

つまり、カード登録・変更画面自体はヤマダウエブコム・ヤマダモールの正規の画面だが、｢入力フォームに入力した情報の送信先が攻撃者になっていた｣という攻撃だと考えられる。

本来、セキュリティコードはストア側が保存しないようになっているが、今回の攻撃の場合、ユーザー入力がそのまま攻撃者に渡るため、そうした対策も回避されてしまう。

こうした入力情報をそのまま盗む手法は、ここ最近でもいくつかのオンラインサイトで発生している。

昨今はクレジットカード情報の非保持化の流れになっており、個々のオンラインストアはクレジットカード情報を保持していない。その結果、攻撃者は｢入力を直接盗む手段｣を採るようになってきたのだろう。

Shutterstock

改ざんが行われている期間が長ければ被害は増えるが、すぐに気付いて対策すれば被害は抑えられる。

やや疑問があるのは、4月16日に情報流出の可能性が判明したとしているが、実際にクレジットカードの登録・変更を停止したのが4月26日だったことだ。攻撃発覚から10日間の被害に関しては、防げた可能性がある。この点はヤマダ電機の対応に疑問が残る点ではある。

その後ヤマダ電機は、第三者調査機関P.C.F.FRONTEO社に調査を依頼。5月20日に調査が完了したことから、5月29日の発表となった。調査、公表までは約1カ月だが、この点に関してはそれほど時間がかかったという印象はない。

とはいえ、やはり発覚後10日間の被害に関しては経緯を説明すべきだろう。

この攻撃では、利用者側でできる対策は少ない

Shutterstock

今回の事件の難しい点は、利用者側でできる対策がほとんどないということだ。

ウェブセキュリティの専門家であるEGセキュアソリューションズ代表取締役の徳丸浩氏は対策として次のような方法をあげる。

｢プリペイドカードを使う、可能ならワンタイムのバーチャルカードを使う。プリペイドカードも残高を低額にしておけば、被害を緩和できる｣（徳丸氏）

逆に言えばそのぐらいしか対策が取れず、徳丸氏も｢ヤマダ電機（のような信頼のおける大手サイト）では、メインのカードを使ってしまう｣と、対策の難しさを指摘する。

理論的には、オンラインでクレジットカード情報を登録しないApple PayやGoogle Payのような決済プラットフォームを利用することもできるが、これはそもそも、オンラインショップ側が対応していないと使えない。

今回の攻撃は事業者側のウェブアプリケーションが狙われた。このことから、徳丸氏は事業者側の対策として、

ウェブアプリケーションやソフトウェアライブラリ、プラットフォームの脆弱性対策をしっかりと行い、管理者パスワードを強固にする

インターネットからの管理者ログインを不可とする

WAF（Web Application Firewall）や改ざん検知システムを導入する

……といった手段を推奨する。

また、今回のヤマダ電機では攻撃発覚から対処まで10日間かかっていることが被害の拡大に繋がった可能性もある。徳丸氏はヤマダ電機に限らず、この｢対処期間｣を最小化することは被害を減らすために重要だとした。

（文・小山 安博）