先日、BLBG株式会社が運営する「ヴァルカナイズ・ロンドン オンラインストア」で大規模な情報漏洩事案が発覚しました。個人情報336件とクレジットカード情報5,754件が流出した可能性があるというこの事件について、今回は詳しく解説していきます。
この事例は決して他人事ではありません。ECサイトを運営する企業や、オンラインで決済を扱うすべての事業者にとって、明日は我が身となり得る深刻な問題です。
なぜこれほど長期間、攻撃に気づかなかったのか
今回の事案で特に注目すべきは、攻撃が約3年間も継続していたという事実です。
2021年5月から2024年5月までの長期にわたり、攻撃者はシステムに侵入し続けていました。さらに驚くべきことに、2023年4月からはデータベース自体が操作されていた可能性まであります。これはどういうことでしょうか?
多くのECサイトでは、決済処理の際に異常を検知する仕組みが不十分なケースが少なくありません。特に中小規模のオンラインストアでは、セキュリティ監視体制が十分に整っていないことが多いのです。
今回のケースでも、最初の異常発見はクレジットカード会社からの連絡でした。つまり、自社のセキュリティ体制では侵害を検知できなかったということになります。これは多くの企業にとって教訓となるはずです。
攻撃者は一度システムに侵入すると、すぐに大規模な情報窃取を行うとは限りません。むしろ、長期間潜伏し、継続的に情報を抜き取り続ける方が効率的だと考えるケースも多いのです。まるで静かに養分を吸い続ける寄生虫のように。
ペイメントアプリケーション改ざんという巧妙な手口
公表された情報によると、攻撃者はペイメントアプリケーションの改ざんという手法を使いました。
これは「Formjacking(フォームジャッキング)」と呼ばれる攻撃手法の一種です。簡単に説明すると、決済フォームに不正なコードを埋め込み、顧客が入力したクレジットカード情報を横取りするという仕組みです。
想像してみてください。あなたがオンラインショップで商品を購入し、クレジットカード情報を入力します。画面上は普通に決済が完了したように見えますが、その裏で入力した情報が攻撃者のサーバーにも送信されている。こうした攻撃は利用者側では気づくことがほぼ不可能です。
この手法が厄介なのは、セキュリティコードまで窃取できてしまう点にあります。通常、カード番号と有効期限だけでは不正利用のハードルが高いのですが、セキュリティコードまで入手されると、オンライン決済で不正利用される危険性が格段に高まるのです。
攻撃者がシステムの脆弱性を突いてペイメントアプリケーションを改ざんできたということは、サイトのセキュリティ対策に何らかの穴があったことを意味します。定期的なセキュリティアップデートの実施や、脆弱性診断の不足が背景にあったのかもしれません。
被害に遭った利用者が今すぐ取るべき対応
もし皆さんがこの期間にヴァルカナイズ・ロンドンのオンラインストアを利用していた場合、どのような対応を取るべきでしょうか。
まず最優先で行うべきは、クレジットカードの利用明細の確認です。心当たりのない決済がないか、少額の不審な取引がないかを注意深くチェックしてください。攻撃者は最初に少額の決済でカードが使えるか試すことがあります。
次に重要なのは、クレジットカード会社への連絡です。カード情報が漏洩した可能性がある旨を伝え、カードの利用停止や再発行を検討しましょう。多くのカード会社では、不正利用の補償制度を設けています。
さらに注意したいのが「リスト型アカウントハッキング攻撃」のリスクです。今回はメールアドレスとパスワードも漏洩している可能性があります。人は複数のサービスで同じパスワードを使い回しがちですよね?もしヴァルカナイズ・ロンドンで使用していたパスワードを他のサービスでも使っているなら、すぐに変更してください。
攻撃者は漏洩したメールアドレスとパスワードの組み合わせを使って、他のサービスへのログインを試みます。銀行、SNS、他のショッピングサイトなど、あらゆるサービスが標的になり得ます。
ECサイト運営者が今こそ実施すべきセキュリティ対策
今回の事例から、私たちは多くの教訓を得ることができます。ECサイトを運営する企業として、どのような対策を講じるべきでしょうか。
第一に、定期的な脆弱性診断の実施が不可欠です。システムの脆弱性は日々発見されており、昨日まで安全だったシステムが今日には危険になっている可能性もあります。専門業者による定期的な診断を受けることで、攻撃者に先んじて脆弱性を発見し、対処できます。
第二に、決済情報の取り扱い方法の見直しです。可能であれば、自社サーバーでクレジットカード情報を保持しない仕組みを検討しましょう。外部の決済代行サービスを利用すれば、PCI DSS(クレジットカード業界のセキュリティ基準)に準拠した環境で決済処理を行えます。
第三に、リアルタイムセキュリティ監視体制の構築が重要です。今回のように外部から指摘されて初めて気づくような状況は避けなければなりません。異常なアクセスパターンや、ファイルの改ざんを検知する仕組みを導入すべきです。
また、従業員のセキュリティ意識向上も忘れてはいけません。攻撃者は技術的な侵入だけでなく、人の心理的な隙をつくソーシャルエンジニアリングも駆使します。定期的なセキュリティ教育により、組織全体の防御力を高めることができるのです。
インシデント対応計画の策定も欠かせません。万が一侵害が発生した際、迅速かつ適切に対応できるよう、事前にシナリオを想定し、対応手順を明確にしておくことが重要です。今回の事例では、発見から公表まで1年以上かかっていますが、より迅速な対応体制が求められます。
予算の制約がある中小企業では、すべての対策を一度に実施するのは難しいかもしれません。しかし、優先順位をつけて段階的に実施していくことで、確実にセキュリティレベルを向上させることができます。
まとめ
情報漏洩は企業の信頼を大きく損ない、時には事業継続さえ危うくします。顧客から預かった大切な情報を守ることは、ECサイトを運営する企業の最も基本的な責任ではないでしょうか。
今回の事例を他山の石として、皆さんの組織でもセキュリティ対策を今一度見直してみてください。攻撃者は常に新しい手法を開発し、次の標的を探しています。私たちも常に学び、進化し続ける必要があるのです。
