皆さん、こんにちは。
今週のセキュリティ動向では、最近話題になっている「不正アクセスによる個人情報漏えい事故」について、まとめてみました。ECサイトを運営している方なら必見べきニューズをご紹介いたします。
そして、不正アクセス対策に関する資料や方法をご提示いたします!
Magentoの脆弱性を狙った
(▲ 通販サイト「H&F BELX公式オンラインショップ」で掲載した情報漏洩関連のお知らせ)
まず、1番目の事件は9月11日報道された通販サイトへの不正アクセスによるカード情報漏洩事件です。
通販サイト「H&F BELX公式オンラインショップ」が外部からの不正アクセスを受け、クレジットカード情報1207件が流出した可能性があることを発表しました。
「H&F BELX公式オンラインショップ」は、オープンソースパッケージの「Magento」でECサイトを構築していたそうです。ところが、この「Magento」の脆弱性を突いた不正アクセス攻撃があり、webサイトが改ざんされました。
不正アクセスにより会員データや会員のカード情報などの約1,207件の情報が外部に流出される可能性があると伝えました。流出した可能性があるのは、クレジットカード番号やカード名義、住所、有効期限、セキュリティコードなどのクレジットカード情報のほとんどでした。
セキュリティコード含め、約627名のカード情報漏えい可能性あり
(▲ カード情報漏えいの可能性がある「フルッタフルッタ オンラインショップ」)
続いては、ECサイト「フルッタフルッタ オンラインショップ」ECサイトの不正アクセス事故に関するニュースです。果実ジュースを販売するフルッタフルッタ オンラインショップが10月5日、約627人分のカード情報が流出された可能性があると発表しました。
ECサイトのWebサーバーに不正アクセスがあり、不正なプログラムが仕組まれたことが原因だとしています。
カード情報が漏洩した可能性があるのは、2017年4月17日から31日までこのECサイトでクレジットカードを利用して、決済を進んだ顧客だそうです。
このサイトでは、今後のセキュリティ対策として、カード情報を自社から保存しない「リンク型システム」に移行する計画を明らかにしています。システムの移転は、10月末を予想しています。
ECサイトでの情報セキュリティ対策とは?
上記で紹介した2件のカード情報漏洩事件をみると、とても恐ろしいです。
物を購入する際、各サイトのセキュリティ環境を確認してから、購入することはできないのに、知らずのうちにカード情報が流出され、どこかで悪用されると考えると、クレジットカードの使用が心配になるのです。
しかし、幸いなことに、経済産業省ではECサイトでセキュリティ対策を整えるようにするため、経済産業省主導の「クレジット取引セキュリティ対策協議会」を発足し、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」※1にて、EC事業者は2018年3月までに「カード情報の非保持化」または「PCI DSS」※2を準拠するように方針を掲げています。
「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」の改訂案では、PCI DSSの規格の一つである「PCI P2PE」をおすすめしていますが、これは、会員の敏感な情報をPOS端末から決済が承認されて処理されるサーバまで安全に転送して処理する方式に関する規定です。
一言でいうと「最初から最後まで情報を暗号化しろ!」ということですが、既にこの規定は、米国では導入されている方式で、取引プロセスを安全に保護するという点でグローバルで認められています。この規格は、改正されたガイドラインから初めて言及されることにより、カード業界およびセキュリティ業界から注目を集めています。
ペンタセキュリティでは、既にこういうガイドラインや方針を徹底的に充足しているソリューション「D’Amo for POS」をECサイトやクレジットカード加盟店に提供しています。このソリューションを通じて、ガイドラインが要求するセキュリティニーズを充足させ、お客様のクレジットカード情報をさらに安全に保護するセキュリティ対策を備えてください。
関連リンク≫
- ※1 クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017- リンク先 ▼
関連資料 | 安全・安心なクレジットカード取引への取組み | 一般社団法人日本クレジット協会
- ※2 PCI DSS(Payment Card Industry Data Security Standard): 加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用・管理されています。
- 参考:急増しているクレジットカード情報流出、そのセキュリティ対策は難しい?
※「D’Amo for POS」の詳しい情報は、こちらから確認できます。
※「POSセキュリティ」の詳しい内容は、こちらから確認できます。