外部JavaScriptの限定化｜タリーズコーヒーECのクレジットカード漏洩事件からの学び

2024年10月3日付で公表されたタリーズオンラインストアの個人情報漏洩による調査結果報告によると92,685名の顧客情報と52,958名のクレジットカード情報が漏洩した可能性があるとありました。

「弊社が運営する「タリーズ オンラインストア」への不正アクセスによる個人情報漏洩の恐れに関するお詫びと調査結果のご報告」
https://www.tullys.co.jp/information/2024/10/post-14.html

現在、クレジットカード情報はECサイトでは多くが非保持化しております。そのためECではクレジットカード情報を取り扱っていないところが大半のはずですが、公式サイトの発表にあるとおりクレジットカード情報に加えてセキュリティコードも漏洩しています。

タリーズ オンラインストアのクレジットカード漏洩事件とは？

本件についてはWeb上の情報から推測することが多く、実際には正しくない可能性もあります。本件について公式発表は以下です。

• システムの一部の脆弱性をついたことによる第三者の不正アクセスがあった
• その際、ペイメントアプリケーションの改ざんが行われた

ということから察するにシステムのセキュリティホールからサーバーへ侵入し、JavaScriptファイルを改竄したようです。改竄されたJavaScriptにはクレジットカード情報入力ページのフォームに入力した内容を外部サーバーに送信していたと考えられます。Yahoo!ニュースにもそれを指摘する記事が公開されています。

「なぜ？ クレカの「セキュリティコード」まで漏洩する事件が相次ぐ」
https://news.yahoo.co.jp/expert/articles/c51bd601fac6778452f29a31959304f11ece0644

本件はユーザー側で対策が可能なのか？

今回の事件がJavaScriptによるクレジットカード情報の送信という場合、ユーザー側でJavaScriptを無効にしていれば防げたと考えられます。ただし、多くのサイトでJavaScriptは使用されているのでサイト閲覧・使用が困難になる可能性があります。そのため現実的な対策とは言えないのではと考えます。

また、今回はJavaScriptファイルの改竄があったようですが、サーバーに不正アクセスがあったとなるとサーバーのプログラム自体の改変も可能となります。この場合はユーザー側で対処するのは難しいと言えます。おそらく発見されづらくするためにJavaScriptファイルを改竄したのではないでしょうか。

ECを運営する上で注意すべき点

弊社もECに関わっていることから対岸の火事とは言えない事件と言えます。本件を防ぐには不正アクセスへの対策が一番なのは間違いありません。セキュリティホールが発見された場合は速やかに対処するといった保守・管理の徹底が大前提となります。

その上で安心感を持っていただくためにも外部JavaScriptの使用を限定化することも大切と考えます。Webサイトの作り方としてJavaScriptファイルを全ページ共通して読み込んでいる場合、閲覧しているページでは使用していないファイルも読み込むことになります。こういった作り方を控え、特にECのカートページでは必要最低限の外部JavaScriptの使用に限定することも重要となります。

ただし、JavaScriptの使用自体が問題ではないので、そこは分けて考えないといけないかなと言えます。JavaScriptは外部ファイル化しなくても実行できますので、保守・管理しやすくメンテナンス性を高めておくことが大切かなと考えます。