情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2020年12月10日号
***************************************************************
PayPayだけで終わらないキャッシュレスサービスの危機
***************************************************************
12月7日キャッシュレス決済サービス“PyaPay”が不正アクセスを受けて2007万6016件の情報が
流出したというニュースが飛び込んできた。
流出した情報はPayPayの加盟店、代理店、パートナー、営業先の住所、担当者の氏名などで
ニュースによるとブラジルから不正なアクセス履歴があったとされていて、今年最大級の情報流出と
言っても過言ではない。
2年前の2018年10月にサービスを開始したPayPayのサービスは同年12月に不正アクセスが発覚
していてシステム上のセキュリティ対策を強化改善している。
今年9月にドコモ口座から表面化したキャッシュレスペイを不正利用した事件に関しても、当然ながら
PayPayも含まれていて、当時18件260万円超の不正利用を確認していた。
今回の不正アクセスの原因は「アクセス権限の設定不備」とされているが、本当にそれだけだろうか?
2年前に不正アクセスされた時に、分からない場所にバックドアのようなものを設置されていて、その後
再び侵入されたという可能性もある。
11月の三菱電機に対する不正アクセスも同様で、昨年攻撃を受け今年1月に不正アクセスを公表、
その後、きちんとした対策を取っていないはずはない。
しかし再び不正アクセスによる被害が発生しているのである。
最近のサイバー攻撃者は、侵入しても痕跡を残さない手法で不正侵入を行うため、内部システムを
調査しても何をされているか分からないことが多い。
もし前回同様の調査で同等レベルの対応策の実施であるとしたならば、今後ハッキングがされない
保証はなく、再び侵入が繰り返される可能性が高い。
今回のPayPayの不正アクセスは、ブラジルからのアクセス履歴が注目されているが、それ以外の国
からの踏み台によるアクセスであることも想定して調査しなければならない。
中国ブラックマーケットではPayPayに関する情報売買も確認しているが、PayPayだけではなく他の
キャッシュレスペイに関する情報売買も多数確認されている。
PayPayだけでなく他のキャッシュレスペイサービスも同様にハッキングされていると考えて間違いない。
インターネットに公表されている最近の日本への不正アクセスの件数は【9月 20件】【10月
17件】
【11月 27件】そして【12月 8件】(※12/9まで)となっている。
不正アクセスにもホームページ改ざんや不正メール送信、個人情報漏洩、クレジットカード情報の漏えい
など様々であるが、流出の可能性としては【個人情報
2806万件】【クレジットカード情報 15万件】と
なっている。
しかし、これはあくまでネットニュースで公表されたものだけの数字であり、不正アクセスを受けているが
公表されていない数字や不正アクセスを受けている事さえ分からずに情報を流出している数は含まれない。
ここで注目したいのがハッキングされたサーバの約25%がAmazonの環境を利用してるということである。
中国のサイバー攻撃者はサーバをハッキングして管理者権限を奪うと、中国ブラックマーケットで情報共有
しているのだが、Amazonは世界的に10万台以上、日本で2万台以上のサーバがハッキングされていて
中国系ハッカーフォーラムで管理者権限情報が共有されている。
ある意味侵入しやすい環境なのかもしれない。
中国ブラックマーケットで売買される情報は、単純な流出情報だけではない。
SMS認証などの2段階認証、各種認証の方法や認証代行作業まで売買されている。
銀行口座情報、クレジットカード情報とセキュリティコード情報、免許証やパスポート、マイナンバーなど
個人を特定する個人情報・・・
これら各種情報を組み合わせれば、なりすましによる不正利用がいくらでも可能となるわけである。
約3ヶ月で2800万件以上の個人情報流出、15万件以上のクレジットカード情報流出、この数字を見て
我々はどのように考えるべきなのだろうか?
特に中国の闇サイト中国ブラックマーケットは特定の人しかアクセスできないため、ハッキングされていることが
分からないまま被害が拡大してしまっているのである。
2016年に開催された【RSAカンファレンス】の結論では、
「もうハッキングは防ぐことができない。私たちが防げると勘違いしているのだ。
このような事実を認め、どのような方法で、より早く発見して対応することができるかについて考えることが
必要な時代だ。」と纏めている。
サイバー攻撃者は、最初にサーバをハッキングしてから最終的な不正利用までが1回のハッキングで終わる
わけではない。
一般的には数週間から数か月の時間をかけて情報収集し、その情報をサイバー犯罪者に売買してその後
不正利用される。つまり最終的な不正利用までは時間がかかるというわけである。
したがって、ハッキングが防げないとしたならば、ハッキングされたことをできるだけ早く検知し、2次被害、3次
被害に遭う前に対策を打つことが重要になってくるのである。
スマホ決済やクレジット決済などのキャッシュレスサービスは、事業者も使う人も相当な危機感を持つことが
必要だろう。
これから年末年始は1年で一番サイバー攻撃が多い時期である。
サイバー攻撃者の罠にかからないよう、被害に遭わないよう心から願うばかりである。
---------------------------------------------------------------------------------
<参考URL>
ITmedia:2020/12/7
PayPayのサーバに不正アクセス 加盟店情報など2000万件に流出の可能性
https://www.itmedia.co.jp/news/articles/2012/07/news091.html
朝日新聞:2020/11/20
三菱電機にまたサイバー攻撃、取引先の口座8千超流出
https://www.asahi.com/articles/ASNCN4V2TNCNULFA00L.html
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved