脆弱性による通販サイトの偽画面の表示
昨日(2019/2/14)の読売新聞の記事で、正規のWebサイトにアクセスしているにも関わらず、偽画面が表示されて、クレジットカード情報を入力すると、そのクレジットカード情報を窃取されてしまうという内容でした。
割賦販売法というクレジットカード等に関する法律で、2018年6月に改正され、クレジットカード情報をサーバー側で保持しないことを求めています。
これは、SQLインジェクションといった攻撃によって、サーバーに保持した情報を窃取されることを防ぐために考えられています。
しかしながら、脆弱性のあるWebサイトでは、偽の画面を表示させるファイルを挿入されてしまうことで、正規のWebサイトにアクセスした人には偽の画面が表示されます。そして、偽の画面に入力した情報を窃取するフィッシングサイトと化してしまっているようです。
詳細については、2018年12月に開催された「PHP Conference 2018」におけるWebセキュリティの第一人者である徳丸さんの記事をご覧いただけたらと思います。