【個人情報流出】ペイメントアプリケーションの改竄という文言

こんにちは！Recept代表の中瀬です。

今日は個人情報の流出に関してです。

よく見るペイメントアプリケーションの改竄という言葉

事業の参考がてら、個人情報の流出事例を見たりしています。

そんな中で、「ペイメントアプリケーションの改竄」という文言が報告書に出てくることが多いです。

https://cybersecurity-jp.com/leakage-of-personal-information#content2023

クレジットカード関連の情報が流出した事件のほとんどがこの文言が入っているのではないかと思えます。

何が起きているのか

これは、何らかの方法で、攻撃者が攻撃対象のウェブサイトを改ざんしていることで起きています。

この、改竄されたウェブサイトからユーザーがカード情報などを入力してしまうと、攻撃者のもとにカード情報が渡ってしまいます。
この手法だと、ほとんど正規のウェブサイトと同じ流れになり、決済代行業者にも情報が渡り、注文も正常に行われます。

しかし、その裏で攻撃者にカード情報が渡っているのです。

そのため、報告書でも、

「カード会社からの不正利用の連絡を受けて発覚」

「報告が遅れた理由」

といった文言が散見されます。

何でウェブサイトが改竄されるのか

そもそもなんで攻撃者によってウェブページが改竄されているのでしょうか。

そのうちの代表格がXXS（クロスサイトスクリプティング）という手法です。

これは、例えば掲示板とかで行われます。

あなたが掲示板とかで何かしらの投稿を発見してクリックするとします。

その投稿に関するページでフォームなどを入力して送信してしまうと、攻撃者にあなたの情報が盗まれてしまいます。

それはどのような情報かというとcookieであったり、フォームに入力したパスワードや個人情報だったりします。

例えば、cookieは、ｗｅｂサービスにログインするときに、複数回パスワードを入力しなくてもいいようにしてくれます。

そのおかげで、一度閉じたページをもう一度開いても二度手間になりません。

そんな便利なcookie情報が盗まれると何が起きるでしょうか。

例えばあなたがECサイトの管理者だったとします。

そのサイトがWordpressのような管理ツールで作成されていたとしたら、容易にウェブページが改竄されてしまいます。

なぜならcookie情報からログインすることができるからです。

といった感じで、ペイメントアプリケーションの改竄が行われているのではないかと思います。

情報の流出をなくしたい

どれだけ強固に守ろうとしても限界が来ているのではないかなと思うことがあります。

不要な個人情報は持たない。

必要な個人情報も参照はしてくるけど持たない。

他人からの個人情報のリクエストはユーザーが許可した人しかできない。

そんな世界が最も安全なのではないかと思います。