【企業のIT活用】カード情報漏洩しないための対策

外部攻撃によるカード情報漏洩

近年、外部攻撃による情報漏洩が多発している理由は攻撃方法を記載したサイトによる模倣犯の出現が大きい

2009年8月、芸能プロダクションアミューズの通販サイト「アスマート」からカード情報が流出したと発表。

流出したのは2005年4月4日～2009年7月20日に「アスマート」で商品を購入した11万6,911人分で、このうち3万4,988件にはクレジットカード番号と有効期限が含まれていました。

幸いなことに、不正使用による金銭的被害は発生していないようです。アミューズではサーバー運営をテイパーズ社に委託。テイパーズ社のサーバーに中国のサーバーからSQLインジェクション攻撃がありました。

「SQL(Structured Query Language)」とはデータベースを扱うための言語で、「インジェクション」は注入という意味です。ユーザーがウェブサイトで商品を買ったり、アンケートに回答できるようにするためには、データベースをサーバーで動かす必要があります。ウェブサイトでは、データベースと情報をやりとりしながら表示しますが、データベースとのやりとりにSQLを使っています。

SQLインジェクションは、URLやウェブサイトのテキスト入力欄に想定外のSQL文を送り込むことで、データベースから情報を盗んだり、改ざんしたりする攻撃のことです。2005年5月に発生した価格.comのウェブサイト改ざん事件は、このSQLインジェクションによるものです。

SQLインジェクションを行うにはSQL文法の専門知識が必要でした。ところが、攻撃ツールや脆弱性のあるウェブサイトのURLがネットで公開され、専門知識がなくても真似するだけで攻撃を仕掛けることが可能になり攻撃が増加しています。

外部攻撃によるカード情報漏洩を防ぐ対策

一番大切なのは経営者などのトップがセキュリティについて理解し、内部監査、外部監査に必要な予算をまず確保することです。

次に安全なウェブサイトを作る必要があります。どんな攻撃があるか理解し、SQL文を注入される原因を作らないよう設計することが大切です。データベースからのエラーメッセージをそのままウェブサイトに表示しているサイトを時々見かけますが、相手にヒントを与えることになりますので、表示しないように変更します。IPA（情報処理推進機構）に安全なウェブサイトの作り方が掲載されていますので、ぜひ参考にしてください。

自社サイトが不正アクセスを受けていないかサーバーのアクセスログを定期的にチェックし、攻撃の痕跡を見つけます。IPAからSQLインジェクション検出ツールが、株式会社LACから無料Webサイトログ診断が提供されています。

不正進入を自動通知するツール（IDS）を導入する。外部からのアタックによる点検を定期的に行う。プログラムやファイルなどの改ざんを自動検出するツールの導入も有効です。