クレジットカードのセキュリティコードも流出、ヤマダ電機による情報漏えいの要因と教訓

IT・情報セキュリティ
徳丸 浩 EGセキュアソリューションズ株式会社

目次

  1. クレジットカードの新規登録や変更時に入力された情報が流出
  2. クレジットカード情報の登録停止対応は後手だったが、公表までの期間は迅速
  3. セキュリティ要件の提示と予算確保はサイトオーナーの責務

ヤマダ電機は2019年5月29日、同社が運営するオンラインストア「ヤマダウェブコム・ヤマダモール」が不正アクセスを受け、最大37,832件のクレジットカード情報が流出した可能性があることを公表した 1。クレジットカードのセキュリティコードが流出したことも取り沙汰された本件について、考えられる発生原因と学ぶべき教訓について、EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩氏にきいた。

クレジットカードの新規登録や変更時に入力された情報が流出

クレジットカードの加盟店は、そもそも顧客のクレジットカード情報をどのように管理し扱うべきでしょうか。

2018年の6月1日に改正割賦販売法が施行され、クレジットカード情報を扱うECサイト事業者にもカード情報保護が求められるようになりました。以下は割賦販売法35条の16から括弧内の文言を省略して引用したものです。

クレジットカード番号等取扱業者は、経済産業省令で定める基準に従い、その取り扱うクレジットカード番号等の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置を講じなければならない。

そして、「必要な措置」のガイドラインになるのが、『クレジット取引セキュリティ協議会の「実行計画」』であり、経済産業省から以下のように「お墨付き」が与えられています 2

クレジット取引セキュリティ協議会の「実行計画」は、割賦販売法に規定するセキュリティ対策の実務上の指針と位置付けられており、「実行計画」に掲げる措置又はそれと同等以上の措置を講じている場合には、セキュリティ対策に係る法的基準を満たしていると認められます。

企業に求められる対応は、最新の「実行計画」に従うということですが、主要な(必須の)項目は、クレジットカード情報の非保持・非通過です。非保持化に対する思いについては、私の運営するWebサイトに書いています 3

しかしながら、2018年以降、「非保持化対応の漏えい経路」が開拓されたことがあって、実行計画には以下の文言が追加されました 4

なお、非通過型を導入した場合であっても、EC サイトの開発・運用段階での対応が不十分であると、カード情報が漏えいするリスクは残ることから、EC サイトの脆弱性対策を行うことは重要である。

本来は、脆弱性対策の方が必須対策で、非保持化は緩和策なので、順序が逆だとは思いますが、非保持化の方が導入の推進や確認がしやすいから、という事情はあると思います。

ECサイト事業者の立場から言えば、非保持化は法律の要求なので従うしかありません。そのうえで、本質的な対策である脆弱性対策をしっかり実施することと、緩和策としてWAF(ウェブアプリケーションファイアウォール)や改ざん検知システムの導入をお勧めします。

今回発生した、ヤマダ電機のクレジットカード情報流出事案について、原因はどのように考えられますか。

クレジットカードの新規登録や変更の際に入力された情報が盗まれたと考えられます。具体的には、以下の2経路が推測されます。

  1. 入力フォームから読み込んでいるJavaScriptが改変され、JavaScriptから情報を外部に漏えいした
  2. サーバー側で受け取ったクレジットカード情報を外部に漏えいする仕組みがサーバー側に組み込まれた

これらのうち、クレジットカード加盟店による情報非保持化の流れを考えると、可能性が高いのは①でしょう。非保持・非通過の状態では、②は実行できないからです。

どうやって、JavaScriptを改変するかですが、既知の方法としては下記があります。

  • 侵入者がヤマダ電機のサイトを直接攻撃して改変する
  • Amazon S3などに設置されたJavaScriptを、クラウドの設定不備などをついて改ざんする

クレジットカード情報の登録停止対応は後手だったが、公表までの期間は迅速

新規クレジットカード登録、およびクレジットカード登録の変更の停止対応が、事案の可能性把握から10日の期間で行われた点については、どのように捉えていますか。

リスク管理の面から、即日停止できていれば、ヤマダ電機自身にとっても、その顧客にとっても被害の最小化という点で有効でしたし、この場合、カード情報漏えいのケースは確実に少なくできたと考えます。ECサイトへの侵入事件を想定した危機管理のマニュアルがなかったか、マニュアルはあったが不十分な内容であったのではないかと推察しています。

情報漏えいの可能性判明から公表まで1か月強の期間で行われた点についてはどのようにお考えでしょうか。

こちらについては、早いほどよいというわけではありません。早期に発表したものの、問い合わせ窓口がなかったり、問い合わせ窓口があっても答えるべき情報が不足したり精度に欠けていると利用者も混乱します。また、他社の事例でみると、2か月から半年程度かかっている場合が多いので、1か月というのは、相対的にはかなり早い方だと思います。

今後、ヤマダ電機にはどのような対応が求められますか。

侵入手口が公表されていないので確定的なことは言えませんし、侵入の原因となった脆弱性などは改修済みでしょうが、ウェブアプリケーションの改ざんを検知する仕組みが整備されていなかったと思われるため、改ざん検知システムの導入が望ましいと考えられます。その他の施策については、被害を受けていなかった時点で足りていなかった点を分析して増強することになります。

また、カード情報漏えいの可能性が判明してからサイト停止までに時間がかかった点については、危機管理のうえから、サイト停止等のルール整備や、権限や連絡体制の確認などが有効な対策として考えられます。

セキュリティ要件の提示と予算確保はサイトオーナーの責務

 企業がECサイトを運営し、クレジットカード情報をはじめとした顧客データを扱ううえで、把握しておくべき事項にはどのようなものがあるでしょうか。事前準備や体制構築の観点も含めて教えてください。

ウェブサイトをベンダーに発注する場合、基本的な機能要件は発注側で示すものの、それ以外は開発会社におまかせというケースが多いようです。しかし、ウェブサイトの安全性を守る主役はサイトオーナーです。セキュリティ要件を積極的に提示し、それに見合う予算を確保する、これらはサイトオーナーの責務です。

ただ、セキュリティ対策の相場感がわからないというケースが多いでしょうから、複数の企業にRFI(情報提供依頼書)を出して、標準的な予算感を把握することをお勧めします。また、企業からの情報や提案を鵜呑みにするのではなく精査できる人材を雇用するか、社員では難しい場合は外部のコンサルタントに依頼するとよいでしょう。

法務担当者はどういった点に留意すべきでしょうか。

法務的には、個人情報保護法、GDPR、割賦販売法等への対応において問題がないかを確認する必要があります。また、危機管理という観点から、想定される事件・事故の洗い出しや、これらが発生してしまった際の連絡体制、決裁ルートを明確にしておきましょう。

この特集を見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する