2024年11月7日 15:48 by asayama
先日、私も若いころから大好きな某コーヒーショップのオンラインストアでの情報漏洩がニュースで流れました。5万件のクレジットカード情報が漏洩したということで衝撃的なニュースでした。
ちょうど、8月にこの事件と同じメカニズムでの漏洩の可能性の記事を当社の「EC-CUBE工房」に掲載していて、この記事のアクセスが増えています。
EC-CUBEでクレジットカード情報漏洩は発生しますか
詳しくは記事を見ていただきたいのですが、2018年の法改正に対応していれば、サーバに侵入されてもクレジットカード情報を盗み出すことはできなくなったはずなのに、なぜそういう事故が起こるのか、ということを疑問に思う方もいらっしゃると思います。その点が、この事件では「ペイメントアプリケーションの改竄(かいざん)」というキーワードで説明されていました。クレジットカードは絶対に漏洩しないように作ってあるサイトの、カード支払をする部分のプログラムを犯人が書き換えて盗み出すという手口が流行っている様です。
この手口で被害に遭っているかどうかは、もともとの問題ないオリジナルのプログラムと、現在サーバ上で稼働しているプログラムを比較すれば確認できます。そのためには、プログラムのバージョン管理などの構成管理を実施していることが重要です。
このニュースを見ていて、警視庁から連絡を受けたのは5月で、漏洩の発表をしたのが10月と、かなり時間が空いていることに疑問を感じた方も多いと思います。ですが、第三者機関のフォレンジック調査には時間がかかりますし、中途半端な発表は余計な混乱を招くので、たいていは発表までは間が空きます。「EC-CUBE工房」にはそのあたりの記事も掲載していました。
クレジットカード情報が漏洩したらどうすればよいですか
サイバー犯罪は、対策を施してもその間隙を縫って攻撃してきます。当社には情報処理安全確保支援士(登録セキスぺ)として登録されているエンジニアが相談に乗っております。自社サイトに不安がある方は、お気軽にご相談ください。