攻撃から守るECサイト！PCI DSS準拠とShopifyの最先端セキュリティについて

近年、EC市場において、セキュリティの重要性が急速に高まっています。

特に2024年、大手コーヒーチェーン店T社で発生した「ペイメントアプリケーションの改ざん」事件は、

ECサイト事業者に大きな警鐘を鳴らしました。

本記事では、今後対応が求められるECサイトのセキュリティ対策について解説していきます。

この不正アクセスは、2024年5月20日に警視庁から連絡を受けたことで発覚しました。

オンラインストアのシステムの一部に脆弱性があったことが原因で、「ペイメントアプリケーションの改ざん」が行われたとされています。

「ペイメントアプリケーションの改ざん」は、決済アプリケーション（例：オンラインショッピング、POSシステム、電子マネーアプリなど）に対する不正な介入や操作を指します。これは顧客の決済情報を盗んだり、支払いを操作したりする目的で行われる攻撃です。

具体的には以下のような手口で不正に顧客情報やクレジットカードの情報を盗み取ります。

「ペイメントアプリケーションの改ざん」の手口

※経済産業省の資料

https://www.meti.go.jp/shingikai/mono_info_service/credit_card_payment/pdf/002_03_00.pdf

「ペイメントアプリケーションの改ざん」は、検出しにくいという特徴があり、その為、長期間にわたり情報が流出し続けるケースが多く報告されています。

また、同様の被害は、近年、拡大傾向にあり、大手コーヒーチェーン店T社以外にも複数件確認されています。

この攻撃によって、2021年7月20日から2024年5月20日の間に同社サイトにて使用されたクレジットカード情報を含む個人情報が漏洩した可能性がありました。

そのため、不正アクセスが発覚した時点で、オンラインストアでのカード決済を停止し、5月23日には、オンラインストア自体を一時閉鎖しました。

10月3日の公表では、第三者調査機関による調査で9万件以上の個人情報、5万件以上のクレジットカード情報が漏洩した可能性があることが公表されています。

大手コーヒーチェーン店T社で発生したペイメントアプリケーションの改ざん事件は、以下の重要な教訓をもたらしました。

1. 決済システムにおけるJavaScriptコードの実行環境の重要性

ブラウザ上でのJavaScriptは、決済のUIや機能を動かすために頻繁に使われますが、悪意のあるコードが組み込まれると、ユーザーのクレジットカード情報が盗まれる恐れがあります。

Magecart攻撃のように、JavaScriptのスニペットを介して決済画面の情報を盗むケースが増えています。

※Magecart攻撃とは

https://www.akamai.com/ja/glossary/what-is-magecart

適切なサンドボックス化や整合性チェックがされていないと、こうした攻撃を防ぐことが難しくなります。

JavaScriptコードの変更をリアルタイムで監視し、異常を検出する仕組みが必要です。

2. サードパーティコードの管理とセキュリティ監視の必要性

決済システムは、多くの場合、サードパーティのサービス（決済ゲートウェイ、分析ツール、

広告トラッキングなど）に依存しています。これらのコードが改ざんされると、被害が拡大します。

企業は、サードパーティコードを導入する際に、定期的な脆弱性スキャンやセキュリティ評価を行う必要があります。

「Content Security Policy（CSP）」というポリシーを設定することで、不正なスクリプトの実行を防止し、サードパーティコードの動作を制限することが推奨されています。

3. 決済データの保護における包括的なアプローチの重要性

漏洩防止のためには、多層的なセキュリティ対策が不可欠です。具体的には、データの暗号化、

多要素認証（MFA）、および「侵入検知システム（IDS）」の導入が効果的です。

また、決済システムの保護には、PCI DSS v4.0のような国際的なセキュリティ基準への準拠が重要です。

これにより、事業者は最新のセキュリティ脅威に対応できます。

インシデント対応計画を整備し、フォレンジック調査で迅速に原因を特定する体制も必須です。

T社のケースでは、発覚後の迅速なカード決済停止と調査が、被害拡大の防止に寄与しました。

T社の事例は、デジタル化が進む現代において、企業が決済システムをどのように守るべきかを示す重要な教訓です。

セキュアな実行環境の確保、サードパーティ依存のリスク管理、および包括的なセキュリティアプローチが、個人情報保護と企業の信頼維持に欠かせない要素であることが明らかになりました。

従来型のパッケージソフトウェアでは、事業者自身がサーバーの管理やセキュリティ対策を行う必要がありました。

これには以下のような課題が存在します。

1. OSを含む使用中の全てのソフトウェアに対するセキュリティアップデートの継続的な適用

2. サーバーの脆弱性対策

3. 決済システムのセキュリティ維持

4. PCI DSS準拠のための多大な労力と費用

特に、カスタマイズ性の高いパッケージソフトウェアでは、独自の決済モジュールや機能追加により、以下のような理由でセキュリティリスクが高まる可能性があります。

1.コードの品質管理の課題

・カスタムコードの品質はカスタマイズを行う開発者のスキルに依存

・セキュリティベストプラクティスの遵守が個々の開発者の判断に委ねられる

・コードレビューやセキュリティ監査が不十分になりやすい

2. 脆弱性の混入リスク

・サードパーティモジュールの品質検証が不十分な場合がある

・異なるモジュール間の相互作用による予期せぬ脆弱性の発生

・非推奨の関数や安全でないコーディング手法の使用

3. 決済処理における特有のリスク

・カスタム決済モジュールでのクレジットカード情報の不適切な取り扱い

・決済処理フローの改変による認証バイパスの可能性

・JavaScriptによる決済フォームの改ざんリスク

4. 更新・保守の複雑化

・コアシステムのアップデートとカスタマイズの競合

・セキュリティパッチの適用による既存カスタマイズの動作不良

・バージョンアップ時の互換性問題により、更新を先送りするリスク

5. 検証環境の課題

・本番環境と検証環境の差異による予期せぬ脆弱性

・すべてのカスタマイズに対する十分なセキュリティテストの実施困難

・新機能のリリース前の脆弱性診断の不足

6. 運用管理の複雑さ

・カスタマイズ箇所の増加に伴う監視ポイントの増加

・インシデント発生時の原因特定の困難さ

・セキュリティ対策の漏れが生じやすい

IPA（独立行政法人情報処理推進機構）の調査によれば、セキュリティ対策の不足が原因で多くのECサイトが情報漏洩被害に遭っており、復旧までに数カ月を要するケースも多いと報告されています。

特に中小規模のECサイトでは、脆弱性管理やセキュリティパッチの適用が遅れていることが課題となっています。

そのため、日本でEC事業者に求められるセキュリティ対策は、近年のサイバー攻撃の増加を受けて強化されています。

経済産業省とIPA（独立行政法人情報処理推進機構）は、ECサイトのセキュリティ確保のために

「ECサイト構築・運用セキュリティガイドライン」を発表し、すべてのEC事業者は2025年3月末までにEMV 3-Dセキュア（本人認証技術）を導入することが推奨されています。

これらのセキュリティ対策は、顧客のデータを保護するだけでなく、ビジネスの継続性を確保するためにも不可欠です。

EC事業者は、早急に必要な対策を講じ、最新のガイドラインに従うことが求められます。

[主なセキュリティ対策の要件]

1.脆弱性診断の実施

ECサイトは構築時および運用時に脆弱性診断を行い、見つかった脆弱性に迅速に対応することが求められています。

運用時には、四半期ごとのプラットフォーム診断や、システム改修時に都度診断を実施する必要があります。

 2.EMV 3-Dセキュアの導入

クレジットカードの不正利用を防ぐために、すべてのEC事業者は2025年3月末までにEMV 3-Dセキュア（本人認証技術）を導入することが推奨されています。

これにより、カード情報の安全性が強化され、消費者に対してはワンタイムパスワードなどの

動的認証の使用が推奨されています。

 3.PCI DSS準拠の推奨

クレジットカード情報を取り扱うECサイトは、国際基準であるPCI DSSへの準拠が推奨されます。

これに加え、EC事業者は新規契約の際に、セキュリティ対策を実施した旨をアクワイアラー

（EC事業者とクレジットカード会社の仲介者）または

PSP（ペイメントサービスプロバイダー:クレジットカードに限らずオンライン決済サービスを

提供する企業）に報告する必要があります。

さらに詳細な情報は、経済産業省の公式ガイドラインやIPAの提供する資料を参照してください。

※IPAのECサイトセキュリティガイドライン

https://www.ipa.go.jp/security/guide/vuln/guideforecsite.html

※経済産業省の指針

https://www.meti.go.jp/policy/netsecurity/guideforecsite.html

上記の主なセキュリティ対策の要件の１つであるPCI DSS v4への準拠について説明します。

「PCI DSS v4」とは

PCI DSS v4.0は、クレジットカード情報の保護を目的としたグローバルなセキュリティ基準である

PCI DSS（Payment Card Industry Data Security Standard）の最新版です。

PCI DSSは、クレジットカード取引を行う企業が守るべき要件を定め、不正アクセスや情報漏洩を防止するための規格です。

2004年に国際カードブランドのAmerican Express、Discover、JCB、MasterCard、VISAの5社によって策定されました。

現在はその5社が共同設立した組織であるPCI SSC（PCI Security Standards Council）によって運営／管理されています。

2022年3月31日に正式リリースされたv4.0では、デジタル化が進む現代のセキュリティ環境に

対応するための改定が行われています。

Shopifyのセキュリティ対応について、メリットと具体的なアーキテクチャーを説明します。

セキュリティ面でのメリット

1. 専門家チームによる24時間365日のセキュリティ監視

2. 自動的なセキュリティアップデート

3. PCI DSS準拠の負担軽減

Shopifyは、最新のPCI DSS v4に既に準拠しており、以下の要件を満たしています。

・安全なネットワークとシステムの維持

・カード会員データの保護

・脆弱性管理プログラムの維持

・強力なアクセス制御手段の実装

・ネットワークの定期的な監視とテスト

・情報セキュリティポリシーの維持

4. グローバル規模での脅威インテリジェンス

運用面でのメリット

1. インフラ管理からの解放

    2. セキュリティ証明書の自動管理

    3. バックアップの自動化

    4. スケーラビリティの向上

 Shopifyの具体的なセキュリティ対応

Shopifyのセキュリティ対応としてサンドボックス環境（別の仮想環境）によるJavaScript実行が制限されています。

サンドボックス環境によるJavaScript実行の制限

ShopifyのCheckout Extensibilityは、多層的なセキュリティ機能を備え、JavaScriptの不正実行やデータ改ざんを防ぎます。

この仕組みは、サンドボックス環境を活用して、システム内での操作を厳密に制御することで、

リスクを最小限に抑えます。

具体的には以下のようなアーキテクチャーにより高度のセキュリティ確保を行っています。

1. サンドボックスアーキテクチャの概要

・Web Workerベースの分離実行：

Web Workerを利用し、JavaScriptの実行環境をブラウザのメインスレッドから分離します。

・CSP（Content Security Policy）の設定：

不要な外部リソースやスクリプトがロードされないように、厳格なポリシーを適用します。

・iframe sandboxによる制御：

iframe環境でJavaScriptを実行し、ホストからの干渉を最小化します。

・カスタムブリッジAPIの利用：

サンドボックス内のコードと外部システム間の通信を、許可された操作のみ通過させます。

2. スクリプト実行制御システム

静的解析による検証：

AST（抽象構文木）を使ってコード構造を解析し、危険なパターン（evalやnew Function）

を検出します。

3. Remote DOMアーキテクチャ

仮想DOMによる差分更新：

Shopifyが開発したRemote DOMという仮想DOMを使い、効率的に必要な部分のみを更新します。

4. セキュリティ強化機能

トランザクション署名とリアルタイム検証：

決済データの改ざんを防ぎ、取引の完全性を保証します。

5. 監視・検出システム

リアルタイム監視と異常検出：

実行時メトリクスを収集し、パターンベースで不正を検知します。

これらの多層的なセキュリティ対策は、サンドボックス環境とRemote DOMアーキテクチャを活用し、JavaScriptの不正な実行や決済処理の改ざん防止に効果を発揮します。

さらに、パフォーマンスを最適化することで、セキュアかつ高速なユーザー体験を提供します。

これにより、「ペイメントアプリケーションの改ざん」のような悪意のあるコード注入のリスクを大幅に低減しています。

EC事業において、セキュリティは最も重要な要素の一つです。

大手コーヒーチェーン店T社の事例が示すように、決済システムの脆弱性は深刻な事業リスクにつながり、企業の信頼や顧客情報の保護に大きな影響を与える可能性があります。

特に、サンドボックス環境でのJavaScript実行制限やPCI DSS v4準拠は、現代のECサイトに不可欠なセキュリティ要件を満たすための重要な要素です。

セキュリティ対策は、単なるコストではなく、事業継続のための必要不可欠な投資です。

お客様のデータを守り、安全なショッピング体験を提供することは、EC事業者としての基本的な責務と言えるでしょう。

今後、ますますセキュリティ要件の厳格化が予想される中、Shopifyのようなクラウドベースのプラットフォームの採用は、合理的で効果的な選択肢となるでしょう。