ロシアによるウクライナ侵攻により、世界情勢は大きく変化し、国内にもその影響が及んだ2022年。セキュリティのトレンドはどのように変わったのだろうか。11月25日に開催された「TECH+セキュリティ専門家とベンダーの対話 第10回 2022年を振り返る」では、有識者らが最新のセキュリティ動向やセキュリティ対策について解説を繰り広げたほか、専門家5名によるパネルディスカッションが行われた。本稿ではその内容の一部を抜粋してお届けする。
サプライチェーン経由のECサイト侵害
パネルディスカッションには、EGセキュアソリューションズ 取締役 CTOの徳丸浩氏、NTTセキュリティ・ジャパン コンサルティングサービス部の北河拓士氏、インターネットイニシアティブ セキュリティ情報統括室長の根岸征史氏、SBテクノロジー プリンシパルセキュリティリサーチャーの辻伸弘氏、セキュリティリサーチャーのpiyokango氏の5名が登壇。各人が2022年に注目したセキュリティ関連のトピックスを順に挙げるかたちで進行した。
まず徳丸氏が挙げたのが「サプライチェーン経由のECサイト侵害」だ。ECサイトを狙ったクレジットカードの悪用被害は以前からあったが、「細かい経路が変わってきている」と同氏は指摘する。
例えば、決済代行事業者・メタップスペイメントの事案では、ECサイトに入力した情報が、ユーザーが通常意識しない決済代行事業者のサーバに蓄積され、そこから情報が漏洩した。別のケースではECサイト上での入力画面をリッチにする入力最適化サービスのJavaスクリプトが改ざんされ、そこからカード情報が漏洩したという事案もあったという。従来はサイトの脆弱性を突かれて情報が漏洩するというパターンがほとんどだったが、「日本でもサプライチェーン経由での漏洩が出てきた」と徳丸氏はこのトピックスを選んだ理由を説明する。これを受けて辻氏も、「『自分たちで情報を持っていると大変だから、外部に預ける』というかたちを採っているにも関わらず、預け先が狙われたという点で、決済代行事業者からの漏洩はインパクトがあった」と同調した。
徳丸氏は「簡単な解決策はない」としつつも、セキュリティの強固な事業者を選ぶための何かしらの指標を検討すべきではないかと提案する。根岸氏はこれに同意し、「小手先の対策ではなく、全体的な見直し、対策を考える時期に来ているのではないか」と付け加えた。