第46回 フォームジャギング再び
2023年2月、大きな個人情報流出事件が明るみに出ました。1件はパソコン向けソフトウェア販売を主として手掛けるソースネクストであり、もう一軒はバッグや財布などの通販サイトを運営する三京商会です。これらの事件の共通点は住所氏名電話番号、そしてメールアドレス等の個人情報だけでなく、決済に利用しているカード情報、それもカード番号や名義人、有効期限、そしてセキュリティコードまで第三者に漏えいしてしまっているのです。漏えいが発覚した時点で、その流出したカード情報によって、不正利用されていなかったとしても、今後不正利用される可能性が大きいことから、至急、そのカードを無効にしなければなりません。すでにカード番号が流出しているわけですから、ダークウェッブ等の闇サイトで売買されて、単に商品が不正に購入されるだけでなく、より悪質な犯罪に利用される恐れもあるからです。
一般に上記のネット商店のような場合、顧客についての情報を分析し、また今後の売買につながるために氏名やメールアドレス等の個人情報は収集し、クラウドを含めて自社のサーバ等で管理するのが通例です。しかしながらクレジットカードの情報等は基本的に決済時にのみ必要となることから、自社でその情報を管理保存することはありません。保存すれば万が一に、そのサーバが不正アクセスを受けて情報が漏えいする恐れがあるからです。ではなぜ、今回上記の2社はクレジットカードの情報が漏えいしたのでしょうか。クレジットカードの情報を保存していたからでしょうか。いや、そうではありません。フォームジャギングというサイバー攻撃の手口に遭ったのです。
クレジットカードの情報が盗み取られ、不正に利用されるという事件は、インターネットでクレジットカード情報による売買が始まった当初から起こっています。主に、今でいうところのフィッシングによる情報漏えいです。フィッシングとは、本物のサイトと見た目が同じようなサイトを作り、そこにメール等(最近はSNS等)で誘導し、クレジットカード情報を記入させる手口です。まだまだフィッシングを行う偽サイトは数多く、利用者は注意を要します。このフィッシングですが、攻撃者から見ると偽サイトでのクレジットカード情報の記入を待ち受けるという意味で受動的な攻撃です。対してフォームジャギングとは待ち受けるのではなく、正規のサイトに入力されたクレジットカード情報を盗み取る積極的な攻撃法です。
フォームジャギングによる攻撃法を簡単に言えば、正規サイトのプログラムを改ざんし、クレジットカード情報を入力すると同時に、他所にもそのコピーを送るように設定するのです。被害者はフィッシングと違って、正規サイトへの入力ですから、まったく気が付くことはありません。ソースネクストや三京商会ではこの攻撃による被害となったのです。当然ですが、正規サイトのプログラムを簡単に改ざんできるわけではありません。IT開発会社が提供している決済システムの脆弱性、あるいは正規通販サイトの運用管理、特に管理者の脆弱な認証情報管理を突いて不正改ざんが行われるのです。
改めて通販サイトを含む、特に企業、自治体等のwebへの改ざんが再び注目されています。上記のフォームジャギングという通販サイトへの攻撃による情報漏えいだけでなく、他のwebサイトへの改ざんも、単に文章を書き換えられるだけではなく、公序良俗に反するページへの誘導や言葉巧みに詐欺をはたらくこともあり得ます。単なる信用失墜ではなく、結果的に何がしかの犯罪に加担し、罪に問われることもあり得るのです。