「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説（2/2 ページ）

[井上輝一，ITmedia]

「見破るのは実質不可能」　偽の決済画面による抜き取り

リダイレクト型には偽の決済画面の表示で攻撃

　次に、決済方法にリダイレクト型を用いていた場合。バックドアの設置までは同様の手順だが、リダイレクト型ではECサイト上で番号を入力しないため、ECサイト上の入力から盗み取ることはできない。そこで攻撃者は、偽の決済画面を表示するWebサイトを用意する。

　本来なら正規の決済サーバへ遷移するところを、攻撃者は偽のサーバへの遷移に書き換える。偽の決済画面に各種情報を入力させた上で、「決済エラー」の画面を表示し、正規の決済サーバへ再遷移。

　最終的には正規のサーバで決済が完了するので、商品は通常通りにユーザーの手元に届く。「決済エラー」に違和感を持たない限りは、ユーザーは自分のクレジットカードなど各種情報が盗まれたことに気付かない。

　徳丸氏は、「ECサイトのドメインは覚えていても、決済業者のドメインまでは普通覚えていない。見破るのは実質的に不可能。私自身も気付ける自信はない」と話す。

ECサイトの「穴」　どうしたら埋まるのか

　これらの攻撃が可能なのは、EC-CUBEのバージョン2で構築されたサイトに“穴”があるからだ。徳丸氏は「バージョン2自体に脆弱性があるわけではない」と前置きしつつも、「バージョン2は広く普及しているため、間違った導入方法を紹介しているページもある。こうした方法に従って導入してしまうと、基本的なセキュリティがなされないまま公開した状態となってしまい、攻撃者の的となる」と指摘する。

　正しいセキュリティがなされないために、本来外部からアクセスさせてはいけないページが誰でもアクセス可能な状態のまま放置されてしまう。攻撃者はここを起点にECサイトにバックドアを仕掛け、情報を盗み取っている。

　では、バージョン2を利用しているECサイトはどうしたらこの穴を塞げるのか。

　徳丸氏は、「基本的なセキュリティの知識を付けて対策を行えば防げるはず」という。同氏が代表を務めるセキュリティ専門会社のEGセキュアソリューションズはEC-CUBEのアドバイザリーを行っており、EC-CUBEで構築したECサイトのセキュリティチェックを無償で行っているが「その依頼も中々来ない」と嘆く。

　最新のバージョン4ならこうした問題は起きないというが、バージョン更新も容易ではない。「サイト自体、ほぼ作り直しになる」。

　さらに、EC-CUBE Ver2は利用企業が多いなどの理由から、本来のサポート期限を延長してサポートを続けており、新規に利用を始められる状態も続いている。徳丸氏は「バージョン2はシンプルで導入しやすい。これからもバージョン2でECサイトを構築する事例は出てくるだろう」と見ている。

対策方法は

　消費者側で改ざんを見破るのは実質不可能だが、対策する方法はなくはない。

　「消費者側で被害を食い止めるなら、セキュリティ的に怪しそうなECサイトではプリペイドカードに必要金額を都度チャージして購入するという方法はある。仮に番号が漏えいしても、チャージ金額以上には使われないため被害を小さくできる」

　徳丸氏は、クレジットカード番号の漏えいによる被害金額が、2014年から現在まで右肩上がりに増えていると指摘する。特に16年は89億円だったところ、17年には177億円に急増。18年6月に割賦販売法改正があったが、結局18年の被害金額は17年を上回り188億円となった。19年は半年で112億円のペースで、年間では200億円に届く勢いだ。

クレジットカード番号の漏えいによる被害金額

　攻撃者側は、「出し子」のような末端を除けば逮捕された例がほとんどない。いわば「ヤリ得」の状態だ。

　消費者側で見破るのはほぼ不可能、ECサイト側も中々対策を打たないまま──となれば、クレジットカード情報の漏えい事件は今後も相当の規模で発生しそうだ。ECサイト運営側は、被害を出して謝罪や補償に追われる前に、自社サイトのセキュリティの状態を迅速に再点検するべきではないだろうか。