TBSビビットで報道された、「決済エラー詐欺」の有効な対策のポイント

2月18日放送のTBS「ビビット」で取り上げられた、「決済エラー詐欺」やはり、地上波放送の反響は今でも変わらずあるようで、弊社にも朝一からお問い合わせいただいている状況です。

弊社顧客での観測事例というのはないのと、やはり多くの人が見る放送ということもあり、技術的に詳しい情報が明示されていた訳ではありませんので、「確実にこの手法でしょう」ということはできないのですが、把握していたケースと照らし合わせて、この手法による特集なのだろうなと類推した部分をご解説いたします。

そのため、今後の情報により本件記事の内容については、変更、書き換えを行う可能性がありますので、ご注意ください。

「決済エラー詐欺」に関する前提

昨年の6月1日施工の改正割賦販売法により、オンラインサイトの営業を行っている事業者向けのガイドラインとして、「クレジットカード情報を持たないようにしましょう」というものが公布されています。

https://www.sbpayment.jp/support/ec/card_security/
SBペイメント様 クレジットカード情報の非保持化 

これは、カード情報を持たないか、「PCI DSS」というクレジットカード業界のセキュリティ基準に準拠させましょうという方針になっています。後者は要件がかなり厳しいため、中小零細企業のECサイトにおける対応としては、「そもそもカード情報を持たない」というのが、標準対応になっています。

そのため、語弊は少しあるかもしれませんが、「カード情報を持っていませんから、仮に攻撃されても、カード情報は漏洩しないから致命的にはならないですよね」というのが、考え方の根底にあります。(もちろん、個人情報の漏洩という点では、問題はあるのですが)。

弊社の情報上は、具体名は避けておきますが、新聞社の通販サイトにおいて、外部からの改ざんを受けた結果、プログラムが改ざんされ、今回の報道にあったような事象があったという点で、おそらく報道はこれらの件を指しているのでは?と考えています。

https://www.trans-cosmos.co.jp/company/news/pdf/2018/181009.pdf
該当のECサイトを運営受託していた、トランスコスモス社によるリリース

本記事では、この前提にたって、対策などのポイントを解説していきます。

改めて、「決済エラー詐欺」とは?

本記事の対象として、「セキュリティ」「IT」にあまり明るくない方というのを念頭に置いていますので、可能な限り回避しますが、技術上少し不正確になる点がございます。お詳しい方であれば、内容をかみ砕いていただければ、ご理解いただけると思いますので、その点はご容赦ください。

該当のインシデントにおけるポイントは「カード会社のセキュリティに問題があった訳ではない」「カード非保持化するための対応は、事業者も行っていた」という2点にあります。

該当の新聞社のECサイトというのは、画面遷移他を含めて見たことがなく、推測にはなりますが、規模感からも上記2点はしっかりされていた模様です。この件は、上記リリースの「調査結果と原因」にも明らかです。

Twitter他でありました、放送のキャプチャを、著作権法内で引用解説いたします。(後にリソースに余裕があれば、わかりやすく画像作成し直します)

kessai_29

(出典:2019年2月18日放送 TBS ビビットより)

一般的には、上記画像の「1→4→5」と遷移するのは、オンラインショッピングが一般的になってきましたので、おわかりいただけると思います。放送でも特集されており、また該当の新聞社でも起きた事例というのは、上記画像の項番通り「1→2→3→4→5」という遷移が行われ、このうちの「2→3」の流れが、悪意を持った攻撃者に埋め込まれた画面でした。

経験のある方も多いと思いますが、購入に関する情報の入力画面は、カード番号を筆頭に「なにやら入力をミスしてしまう(運営者の意図に沿っていない、カナや数字の半角全角など)」のは既知の通りで、これまでの攻撃手法と異なり「なんか少し変だぞ」「おかしいのでは?」という疑念が起きにくいものになっています。

リリース上からも読み取れなかったので推測ですが、これらの偽ページとプログラムは、正規のECサイト上に埋め込まれた可能性が高いといえます。

商品自体は正しく手元に届きます

この点は番組でも紹介されていましたが、今回の手法は「怪しい人が偽サイトを作って、情報を取得していた」ということではなく、「正規のサイトに、攻撃プログラムが仕込まれ、正規のサイトとの橋渡しをしながら、情報を取得していた」という点が特筆すべき点です。

これまでの事例であれば、一度は全く関係の無いサイトに飛ばされるため、アドレス欄などをチェックしていれば回避できる可能性は高いです。例えば「www.rakuten.co.jp」というURLのサイトで買い物をしていたら、「www.rakuten-ni-kougeki-shitemasu.com」というサイトの画面上に情報を入力してくださいとなりますと、多くの人が気づくかと思います。

前提にもありましたように、「カード会社のセキュリティに問題があった訳ではない」「カード非保持化するための対応は、事業者も行っていた」それと、「商品は正しく届く」という点から推測しますと、クロスサイトリクエストフォージェリなどの手法ではなく、「偽ページとプログラムは正規のECサイト上に埋め込まれた」可能性が高いと考えています。

消費者がとることができる、対策とは?

今回の攻撃は、「事業者、システム側の問題であること」「一般的に、エラーで修正を促されることはよくある」という2点のため、具体的な対応策はなく、ウイルス対策ソフト他を用いても、攻撃を防ぐことはできません。

これは、埋め込まれたものとはいえ、「コンピュータの見た目上は、正規のECサイト上で起きている」事になるためです。

そのため、取り得る防衛手段は、放送でも紹介されていましたが、「カードの利用明細をしっかりと確認する」というものしか、現状は取りようがありません。

また、どのようなサイトが危ないかといいますと、「ECサイトシステムのバージョンが古い、管理されていない、システム担当者や業者が係わっていない」という「雰囲気があるサイト」が、危険性は高くなるのですが、一概に外見のみで判断も難しいと思います。

そのため、事業者側の意識があがってくるまでは、「カードの利用明細を確認する」という点をしっかりと繰り返す他ないのが現状です。多くのカードでは、このような窃用のケースの場合、保険などにより、請求の取り消しや返金の対応があるかと思います。不審な物があれば、すぐカード会社に問い合わせることも大切です。

事業者が「とらなくてはいけない対策」とは?

報道にもあるような、「決済エラー詐欺」に関する攻撃は、ECサイトのシステムもしくはサーバ上の脆弱性、FTPのID・パスワードの漏出などにより、引き起こされた可能性が高いと考えられます。

あくまで、現状の情報ではありますが、Windowsなどの基礎的な部分の不具合や、脆弱性を突かれてしまった、サーバのOSの不具合が原因となっている、という話は入ってきていないため、今一度、ITやセキュリティに対する意識を高めるのが第一です。

その上で、具体的な対策として、セキュリティに関する運用フローの見直し、ECパッケージ、サーバミドルウェア他ECサイト運営に係わる各種ソフトウェアのアップデート、WEBサイト改ざん検知システムの導入などが考えられます。

今回の場合、WEBサイト改ざん検知システムが導入されていれば防げた可能性は高いと思えます。例えば、ハッシュリスト比較型のように、定期的にハッシュ計算を行い、元リストとの比較を行うタイプであれば、検知は容易だったと思えます。

続報があり次第、追記更新したいと思います。

関連記事

  1. 近づく年の瀬と、年齢を感じる瞬間

  2. なじみは薄いけれど、されども「マイナンバー」

  3. WordPressでLightbox系統のプラグインが動かないとき

  4. 事務所移転から少し落ち着きました。と、日本シリーズのチケット販売に思う…

  5. ビジネスマンは、電子メモの夢を見るか?

  6. クラウドサービスの活用で、請求処理の時間を10分の1に!