３コメ その５　セキュリティ会社もやられた！オンラインスキミングに要注意を！

2023年2月14日、ソースネクスト社ＨＰにて「当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ」と題して、第三者による不正アクセスを受け、お客様のクレジットカード情報と個人情報が漏えいした可能性がある、との発表があり、多くのメディアでもニュースになっています。「ソースネクスト」といえば、年賀状作成やアンチウィルスなど身近な製品をお買い得な価格で提供している上場企業で、当方も同社の製品を利用していたので、そのニュースにはびっくりしました。幸い、同社発表の報告によれば、情報漏洩の期間（約２か月間）でのサイトの利用はなかったので、まずは一安心でしたが、対象となった約12万人の顧客の不安もさることながら、やはり最大の被害者は、顧客情報の漏洩にみまわれたソースネクスト社でしょう。同インシデントの発表前後で、株価は約20%、時価総額で30億円以上の下落に見舞われ、その上、今後、約11万人に及ぶクレジットカード番号漏洩ユーザーへの不正利用補償など、厳しい対応が想定されます。流石にセキュリティソフトを販売する会社で、公表までにフォレンジック調査など一カ月半もの時間をかけたことはあって、本件について、同社サイト上でかなり詳しい情報開示がなされています。そこから読み取れる原因は、決済ページでのオンラインスキミングです。ログイン情報は盗られていないことから、ログイン後に入力する個人情報やクレジットカード番号の登録ページの不正スクリプトにより、攻撃者へ入力情報が渡ったと思われます。クレジットカード情報詐取を狙ったオンラインスキミングは、近年非常に増加し、カード情報漏洩原因（詐取手法）のトップとされ、クレジットカード業界でも警戒を強めているところでした。

そのような潮流を受けてか、クレジットカード情報のグローバルなセキュリティ基準であるPCIDSSでは、昨年発表された同基準の新バージョン（V4.0）では、新たな準拠要件として、このオンラインスキミング対策も加えられています。

セキュリティ企業でも起こりうる情報漏洩、起こしてしまうと上記のような甚大な損害に繋がりかねません。オンラインスキミングを未然に防止するには、アプリ上のスクリプトの可視化から、不正スクリプトの検知・防御を行う管理ソリューションが必要です。

実は、弊社でもこの新たな準拠要件に対応する、オンラインスキミング対策ソリューション
の取扱いを始めました。ご興味がある方は、下記URLよりご確認ください。

オンラインスキミング対策ソリューション
URL: https://product.sct.co.jp/product/security/jscrambler