クレジット業界のセキュリティ基準「PCI DSS」は安全なのか(前編)

牧野武文

June 7, 2017 08:00
by 牧野武文

Apache Struts2は、Web上でJavaプログラムを動作させるライブラリ群からなるアプリケーションフレームワークである。Apache財団が運営するオープンソースプロジェクトであり、無償であること、成熟していることから多くの商用サイトで採用されている。

2つの衝撃

そのApache Struts2に重大な脆弱性が発見された。しかも、外部から権限の高いコマンドがほとんど実行できてしまうという致命的なもので、判明しているだけでも、都税クレジットカードお支払いサイト住宅金融支援機構、日本貿易振興機構、特許情報プラットフォーム、日本郵便、沖縄電力、ニッポン放送などが被害を報告している。特に東京都税と住宅支援機構のサイトではクレジットカード情報を含む個人情報が流出したとされている。

「この事件は、関係者にとってこれまでにないショックがありました。ひとつは国内ではここ数年稀に見る約40万件流出という大規模なものであったこと。もうひとつは東京都税や住宅金融支援機構という公的機関からの流出であったこと。そして、PCI DSSに完全準拠している決済代行事業者が受託運営するサイトから流出が起きたということです。PCI DSS準拠企業では国内初の大規模なカード情報の流出事件となります」と、fjコンサルティング、瀬田陽介CEOは語る。

PCI DSSは、PCI SSC(Payment Card Industry Security Standards Council)が定めたData Security Standard。VISAやMasterCardなど主要な国際ブランドがカード情報を扱う事業者向けに定めたデータの保護基準だ。両サイトを運営するGMOペイメントゲートウェイ(以下GMO-PG)からは、再発防止委員会による「不正アクセスによる情報流出に関する調査報告書(2017年4月30日)」が公開されており、事件の全容を確認することができる。

「GMO-PGから公表されている報告を見る限り、この攻撃は、ゼロデイに近かったと言えます。PCI DSSに完全準拠していたとしても侵入そのものが防げていたかどうかは疑問です」(瀬田氏)。

Apache Struts2の脆弱性について、IPA(情報処理推進機構)のJPCERT/CCが注意喚起をしたのが3月8日 10:43であった。同社が翌9日の18時ごろから影響調査を開始したところ、3月8日の4:54から当該サイトへの攻撃が開始されていた(ただし3月6日の日本時間22:14の段階でUS Apacheのサイトにて脆弱性情報が公開されているため、完全にゼロデイではない)。

「PCI DSSの要求事項では、脆弱性が公表されてから、重大なものについては1ヵ月以内にパッチをあてる対策を要求されています。この点だけ言えばPCI DSSにただちに違反しているとは言えません」(瀬田氏)。同社は、JPCERT/CCから注意喚起の翌日3月9日の21:56には、この脆弱性に対して対策を取っている。

GMO-PGの迅速な対応

公的機関のクレジットカード決済をともなうサイトの受託運営において、流出事件を引き起こしてしまったGMO-PGは社会的責任を免れることはできない。客観的に責められる点として過去に重大な脆弱性が発見され続けているApache Strutsというアプリケーションフレームワークを公的機関のサイトの構築で選択し、運用し続けたことが挙げられる。しかし他の重要なサイトにも多数使用されていることを考えると同社だけが責められる話ではない。また、PCI DSSでは保存禁止となっているセキュリティコードが一部保存されていたことが同調査報告書で言及されているが、本件については別の機会に論じたい。

「同社を結果責任で責めるのは簡単なことです。もちろん、事件を引き起こした責任は問われなければなりませんが、発覚後の処理は見事と言ってもいいほど迅速に対応しています。この事件の教訓は同社がつぶさに公表してくれた調査報告書によって得ることができます」(瀬田氏)。

同社では不正アクセス、流出が発覚してからすぐに事態を公表。しかも、流出したカード情報件数も「最大値」を見積もり、発覚後の翌日には両サービスを停止し、流出したカード情報をカードブランドなど関係機関と連携している。その後の被害状況を精査して、その件数を下方修正していった点でも、流出したカード情報の二次被害を防ぐという観点で評価が高い。類似する他社の事件の場合、状況の精査が終わらないことを理由に公表が遅れや、流出想定件数が過小に見積もられ後から追加することで、批判を受けることが多い。PCI DSSでは年に1回カード情報の流出をシナリオにしたインシデント発生時の演習が要求されている。今回の迅速な対応は、その中で訓練された成果とも言えよう。

繰り返しになるが同社は、PCI DSSに完全準拠していた。脆弱性の注意喚起にも要求事項どおり1ヶ月以内に対応を行った。流出が発覚しても、可能な限りの迅速な対応をとっていたと言える。それでも、事件は起きてしまった。

そうなると広く世間では、PCI DSSという基準は安全なのか? という疑問が湧いてくる。次回後編ではこの点を中心に解説する。
 
(後編に続く)




牧野武文

牧野武文

テクノロジーと生活の関係を考えるITジャーナリスト。IT関連本を中心に、「玩具」「ゲーム」「論語」「文学」など、幅広くさまざまなジャンルの本を執筆。

ハッカーの系譜(11)スタートアップ養成する「Yコンビネーター」 (8) Yコンビネーターの合格から最終プレゼンまで

June 6, 2017 08:00

by 牧野武文

オンラインは機雷 Yコンビネーターは、1月から3月までの冬学期、6月から8月までの夏学期の年2回、開催される。年のうち半分は、学期が開催されていないので、専用のオフィスはいらないとグレアムは考えた。ブラックウェルのエニーボッツ社の一室を借りている。 グレアムは、ITビジネスで成功し、これからITスタ…

偽携帯基地局から広告配信し16万台の携帯電話に影響をあたえる

June 2, 2017 08:00

by 牧野武文

山東省栄成(えいせい)市公安は、許可なく携帯電話基地局を設置したとして王奇龍(おう・きりゅう)を公用電信設備破壊罪で起訴し、第一審で懲役3年、執行猶予3年の判決が言い渡されたと、正義網が報じた。 携帯は繋がらず広告がやってくる 昨年の10月、栄成市の女性、胡さんが百貨店のセールに出かけた。友人の李さ…

Must Popular