eコマースサイトを標的とした クレジットカード情報や個人情報の窃取攻撃に関して

株式会社ラック（本社：東京都千代田区、代表取締役社長: 齋藤理、以下ラック）は、電子商取引サイト（eコマースサイト： 以下、ECサイト）を標的としたクレジットカード情報や個人情報を窃取する攻撃に関して、新たな攻撃対象の特徴や手口の傾向が判明したため、本日、注意喚起を公表します。

ラックの情報漏えい緊急対応サービス「サイバー救急センター」に問い合わせのあった最近の複数の事例において、次のような特徴がみられました。

１. 検索エンジンを悪用して対象サイトを選別している
攻撃者が攻略しやすいサイトの選別に、検索エンジンを利用していることが分かりました。次のように、クレジットカード情報や個人情報を保有するサイトで、情報を窃取できそうなサイトを検索しています。

• ａ) 「JCB」「VISA」「Master」などのカードブランド名称と、「支払」などのキーワードで検索エンジンにヒットするサイト
• ｂ) サイトのURLに、PHPが含まれるサイト。従来からの.aspや.aspxが含まれるサイトも引き続き標的になっていますので油断は禁物です。
• ｃ) 検索結果に、例えばxxxxx.php?code=xxxxxのようにパラメータが表示されているサイト

２. 攻撃対象がLinuxサーバのシステムにまで拡大している
従来、マイクロソフト社製のWindowsサーバ上で稼動するIIS並びにASPで構築されたサイトが標的になるケースが多くみられました。最近はOSのライセンス料金が不要なことから利用が拡大しているLinuxサーバ上で稼動するApacheならびにPHPで構築されているサイト、そしてこのような環境を活用した低価格なホスティングサービスも攻撃者の対象となっています。

参考：日本をターゲットとしたSQLインジェクションによるホームページ改ざん行為と、同行為により改ざんされたページへのアクセスによるマルウェア感染について

以上のような攻撃を誘発している背景としては、「Windowsサーバではないから大丈夫」、あるいは「これまで何もなかったから大丈夫」といった根拠のない安心感から、セキュリティへの考慮がほとんどなされていないサイトが依然として存在していることがあげられます。

また、昨年12月に改正割賦販売法が施行され、ECサイトを運営するサイトオーナ側の責任が明確になったにもかかわらず、そのことへの認識の甘さも散見されています。

さらに、最近のSQLインジェクションに代表される攻撃は、サーバプラットフォーム自体ではなく、サイトオーナが開発したWebアプリケーションプログラムの脆弱性やサイト管理上の甘さをついてくるものが多いのにもかかわらず、サイトオーナ側が運営を委託したホスティング事業者の責任であると誤解しているなども被害が減らない理由であると推測されます。

◆危険レベルの見分け方と、対策ガイダンス

警告レベル：既に侵入されている可能性もあり得る致命的な状態
前述（a, b, c）に該当し、これまでWebアプリケーション診断を行ったことがない、あるいはWebアプリケーションファイアウォール（WAF）などのSQLインジェクションなどの攻撃を防御する装置も導入していない。

注意レベル：いつ侵入されてもおかしくない危険な状態
前述（a, b, c）には特に該当しないが、カード情報や個人情報を保持しており、これまでWebアプリケーション診断を行ったことがない、あるいはWebアプリケーションファイアウォール（WAF）などのSQLインジェクションなどの攻撃を防御する装置も導入していない。

【対策ガイダンス】

1. 自社サイトのログを確認して不審なものがないか確認ください。弊社で提供する無償のWebサイトのアクセスログ解析ツール SSCF（※1） で確認を行うことができます。
2. 並行してWebアプリケーションの脆弱性に関する鳥瞰検査を受けることをお勧めします。
   その後、その結果により、ビジネスの規模や社会的責任を鑑みて対応を考慮ください。
3. カード情報を保持している場合は、決済会社と相談して非保持契約に切り替えるか、WAFなどの防御装置の導入を検討ください。

◆自社サイトの不備をセルフチェック！

(1)不審なアクセスを見分けるヒント
Webサーバのアクセスログに記録される、リファラー（Referrer）の解析はSEO対策だけではなく、不審なアクセスの目星をつける意味でも重要です。それは、攻撃者が検索エンジンでどのようなキーワードでサイトを物色しているのか見極めることができるからです。特に一般の人が検索しないキーワード（前述a, b, cなど）が見つかった場合、攻撃者が残した痕跡である可能性は否定できません。その後の不正アクセスなどのアクションに注視してください。

(2)不必要な公開ページの削除と、URLの最適化
検索エンジンで自社ページをサイト内検索（例：site:lac.co.jp）することで、どのように検索エンジンに登録されているか確認しておくことができます。検索結果に自社サイトで発生しているエラー画面や管理画面が表示されていたり、一時的に作成したテキストファイルが見つかることもありますので、不要なページは削除してください。（※検索エンジンに全ての結果が表示されるわけではありません。）
また、URLに、SQLインジェクションなどの攻撃のヒントとなるパラメータが表示されているのであれば、それを表示されないようにする工夫も重要です。

◆情報の窃取だけでなく、改ざんにも注意

情報の窃取だけではなく、改ざんも継続して多くのサイトが被害に遭遇しています。攻撃者にとっては、改ざんのほうが、情報窃取より実行しやすいので注意が必要です。（たった一回のSQLインジェクション攻撃で複数のデータベース内容の改ざんが可能）
データベースの改ざんは、多くの場合ウイルスをばら撒いているサイトとして利用者から指摘され、ホームページの改ざんとして露呈します。その結果、長期にわたるサイトの閉鎖を余儀なくされたり、再開のために多額の費用と期間を要するような被害に見舞われているケースもよく見受けられます。
高々改ざんという認識を改め、サイトに事業を依存している組織、あるいは社会的責任のある組織は注意を怠らないようにお願いいたします。

◆ECサイト運営時の留意点

ECサイトを運営するには、前述の法改正への対応も含め、個人情報やカード情報への法的管理責任が生じます。しかし、事業立ち上げ時など、企業体力がないなどから適切なセキュリティを実装できないこともあります。その場合、クレジットカード情報などを非保持で事業を行うことを考慮しなければなりません。その後、事業の成長とともに適切な管理を行っていくのが、事業を継続していく上での大筋のシナリオとなります。
また、サイトオーナだけではなく、システム運営を委任されているサービス提供事業者も、個人情報やクレジットカード情報を預かっている場合、適切に管理する責任があることを再認識の上、サイトに脆弱性がないか確認し、適切な対応を行っていただきますと幸いです。

以上

（参考情報）

個人情報の取り扱いのガイドライン（経済産業省ホームページ）
（http://www.meti.go.jp/policy/it_policy/privacy/index.html#02）

社団法人 日本クレジット協会 クレジットカード番号等の保護
（http://www.j-credit.or.jp/customer/sales_law/index2.html#area0204）

クレジットカード情報取り扱いの基準（PCIDSS）
（http://ja.pcisecuritystandards.org/minisite/en/index.html）

※1.SSCF：セキュアサイトチェッカーフリー
2011年4月末をもってサービスを終了いたしました。