スイーツパラダイス、クレカ情報漏洩と遅れた公表 なぜ防げなかったのか：不正アクセス誘う中小企業の弱み（1/4 ページ）

[高橋睦美，ITmedia]

　「スイーツパラダイス」を運営する井上商事は6月7日、運営するオンラインショップ「スイーツパラダイス　オンラインショップ」が第三者からの不正アクセスを受け、セキュリティコードを含むクレジットカード情報、7645件が漏洩（ろうえい）した恐れがあることを発表しました。

　世の中では、Emotetやランサムウェアの被害が絶えず、メディアでもマルウェア感染に起因するシステム障害、業務停止といった問題が騒がれがちです。一方で、脆弱（ぜいじゃく）性を突いた不正アクセスによってペイメントアプリケーションが改ざんされ、クレジットカード情報が漏洩してしまう被害もまた継続的に発生しています。

スイーツパラダイスはケーキ中心のバイキング飲食店（同社公式Webサイトより）

　それも、1つのインシデントで数百万、数千万件といった情報が漏洩し、多くのユーザーが影響を被る大規模なケースは近年あまり耳にしません。数千件から十数万件といった小中規模の被害がコンスタントに発生している印象です。うがちすぎかもしれませんが、確実に金銭を手にしようと考えるサイバー犯罪者が、目立ちすぎない程度に犯罪を繰り返しているようにも思え、より悪質化しているように感じます。

　井上商事のプレスリリースによると、不正アクセスが発生したのは今から半年前の21年12月7、8日のことでした。第一報が入ったのは顧客と一部のクレジットカード会社、すなわち外部からの指摘によるものだったといいます。情報漏洩の可能性について指摘を受けて同社はクレジットカード決済処理を停止するともに調査を開始し、事実確認ができた22年6月になって情報を公開したことになります。

井上商事が情報漏洩を公表するまでの経緯（同社プレスリリースをもとに編集部で作成）

　同社によると、不正アクセスの手法は、少なくともSQLインジェクションによるデータベースへのダイレクトなアクセスではありません。そもそも、18年6月の割賦販売法改正によって、オンラインショッピングサービスを提供する企業では、自社ではセキュリティコードも含めたクレジットカード情報を保存せず、決済代行業者に処理を委託する非保持化が進んでおり、攻撃者にとってうまみのある手法とは言えないでしょう。

井上商事が公表した漏洩状況（プレスリリースより）

　代わりにこの数年横行しているのが、カード情報入力フォームなどを改ざんし、利用者が入力したクレジットカード情報を盗み取る手法で、「Webスキミング」などとも呼ばれています。詳しい手口については、セキュリティ専門家の徳丸浩氏の動画が参考になります。

　こうした攻撃への対策は、Webアプリケーションに脆弱性がないかを検査し、適宜修正していくことに尽きます。それも、最近では顧客を引きつけるために頻繁に改修が行われることが常なので、できる限りこまめにチェックしていくことが重要でしょう。