カード情報を流出させない!PCI DSSとは

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

カード情報を流出させない!PCI DSSとは

2009/07/07


 知らぬ間に自社システムから顧客のクレジットカード情報が盗みとられていた!という事件が、近年たて続けに起こっている。SQLインジェクションによる不正アクセスや情報へのアクセス権限の不適切な管理が原因となったケースが目立つが、クレジットカード業界のセキュリティ標準「PCI DSS」に準拠していれば、これらの事件を未然に防げた可能性が高い。今回は情報流出のリスクがきわめて高いクレジットカード情報に関する情報漏洩事件を通じ、具体的かつ詳細な規定が盛り込まれたセキュリティ基準、PCI DSSを紹介する。

PCIDSS

#006

最大2万件のクレジットカード情報が流出!?

 「最大2万件の顧客情報とクレジットカード情報が流出している!」
  2008年5月7日、複数のECサイトを運営する通販会社A社は、調査を依頼していたセキュリティ専門会社から驚愕の結果を知らされた。
  A社はこれに先立つ4月15日、クレジットカード会社から不審な取引があることの指摘を受け、セキュリティ専門会社に調査を依頼していた。その結果わかったのは、同社の2つのECサイトに中国からSQLインジェクションによる不正アクセスが行われていたこと、そして顧客情報とクレジットカード情報が盗み出されていたことだった。
 流出していたのは、顧客の名前、住所、ログインパスワード、メールアドレス、電話番号、クレジットカード番号、カード有効期限。その規模は、総計で最大約2万件にのぼる可能性があった。同社は5月20日に顧客と報道メディアに向けて事実を公表、謝罪するとともに、安全性の高い複雑なパスワードへの変更を呼びかけた。
 また、この流出に起因するクレジットカードの不正使用などで生じた損害は、すべて同社が補償することを約束するとともに、決済方法の見直しを含めたサイトのセキュリティ体制を改善することを表明した。
 対応策として、すぐさまクレジット番号と有効期限をサイトで保有する仕組みをやめ、より安全な決済代行業者による新決済システムを採用。これにより、カード情報はカード決済会社が保持することになり、同社には情報そのものが存在しなくなった。さらに同社は7月23日、以下のような各種セキュリティ対策を行ったと公表した。

最新IPSと専門スタッフによる異常侵入常時監視体制
ファイアウォールの設定・見直し
プログラムの脆弱性発見、指摘システムの導入、毎日のサイト検査を実行
プログラムの補修・増強を即時に行える体制づくり
脆弱性を持つ可能性のあるプログラムを完全除去、すべての脆弱性を修復するよう総点検
ログを徹底的に取得

(ケースファイル事例はA社公表資料をもとに編集部作成)




1

頻発するSQLインジェクションによる不正アクセスと情報流出

 A社のケースは典型的なものだが、これ以外にも昨年から今年にかけてクレジットカード情報の漏洩事件は相次いでいる。

2008年7月23日、ECサイトを運営するC社が2万8105件の顧客クレジットカード番号が流出した可能性を公表。セキュリティ対策、脆弱性対策はとっていたものの、未対策の古いプログラムへの攻撃が行われた結果という。これも中国からのSQLインジェクション攻撃で、6月6日にクレジットカード会社からの連絡で事態を把握、セキュリティ専門会社を含めてログを分析した結果、不正アクセスが判明した。

2008年8月6日、ECサイトを運営するD社がクレジットカード情報8万6169件を含む65万3424件の顧客マスターデータを流出した可能性を公表。顧客マスターにはクレジットカード番号の下4桁は保持しておらず、またクレジットカード情報は任意項目であったため被害は限定的ではあったものの、不正アクセスに利用されたSQLインジェクションの手口は、システムがエラーを返してもなおSQLインジェクションが実行されるという特殊なSQL文を使用した珍しいものであり、ログ解析によってもただちには明らかにならなかった点で特徴的なケースだった。

当コーナー「SQLインジェクションで情報がダダ漏れ!?」のケースファイルで紹介した、2008年3月の事例。

セキュリティ情報局にご登録頂いた方限定で「カード情報を流出させない!PCI DSSとは」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

PCIDSS/カード情報を流出させない!PCI DSSとは」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「PCIDSS」関連情報をランダムに表示しています。

PCIDSS」関連の製品

特権ID管理 iDoperation(アイディーオペレーション) 【NTTソフトウェア】 Logstorage(ログストレージ) 【インフォサイエンス】
ID管理 統合ログ管理
今求められるIT統制に対応でき、管理(ID貸出、パスワード変更、ログつきあわせ、ID棚卸等)を自動化できる特権ID管理製品。人手作業は利用申請・承認、点検結果確認となる 企業内やクラウド上に分散するITシステムのログデータを自動収集、統合管理することにより、セキュリティ対策、運用負荷の軽減を実現する純国産の統合ログ管理製品。

PCIDSS」関連の特集


 IaaSは日本企業に今やすっかり受け入れられたように見えますが、クラウド導入に対する不安はなかなか…



セキュリティ事故発生要因は現場だけの問題ではない。どのように企業のセキュリティリスクを回避してい…



景気低迷によりIT投資が減少する中でも急拡大しているWAF(Webアプリケーションファイアウォール)…


PCIDSS」関連のセミナー

金融ICT カンファレンス 2016 【ナノオプト・メディア】 締切間近 

開催日 12月9日(金)   開催地 東京都   参加費 無料

Fintech 時代に求められる金融業界が取り組むべき課題改善の重要なポイントを企業の成功事例を中心に、最先端テクノロジーとソリューションを一挙解説する。■キー…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003160


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ