アカウント侵害の疑いがある場合のアクション
Adyenアカウントに関連する不正な行為が疑われる場合は、次のアクションを実行してください。
コントロールを取り戻したことの確認
次の手順で、侵害されたアカウントを再度コントロールしていることを確認する必要があります。例えば、攻撃者がまだ侵害しているメールボックスにパスワードのリセットリンクを送信しても、望ましい結果は得られません。同様に、攻撃者がCustomer Areaにまだアクセスでき、APIを再度追加または置換できる状態でAPIキーを変更しても役に立ちません。
Customer Areaへのユーザーアクセスを安全にする
- ユーザーの無効化:疑わしいユーザーアカウントや不要になったユーザーアカウントがある場合は、[設定] > [ユーザー] > ユーザーを選択 > [ユーザーを無効化] で無効にします。
- ユーザーパスワードのリセット:管理者として、Customer Areaの [設定] > [ユーザー] に移動します。影響を受けている可能性がある、またはパスワード更新が必要だと思うユーザーを選択します。[パスワードのリセットを送信] オプションを選びます。ユーザーは、新しいパスワードを作成するためのリンク(24時間有効)が記載されたメールを受け取ります。
ユーザーロールを見直す:ユーザーに割り当てられた権限を確認します。ユーザー詳細ページの [設定] > [ユーザー] > [ユーザーを選択] からロールセクションを確認し、必要に応じて権限を調整してください。
安全なAPIアクセス:
- 新しいAPI資格情報の生成:Customer Areaにアクセスし、[デベロッパ] > [API資格情報] に移動します。新しいAPI資格情報を作成します(接続に応じて、新しいAPIキーまたは新しい基本認証パスワードを生成してください)。これらの新しい資格情報を安全に保管します。
- 古い資格情報の無効化:侵害された可能性のあるAPIキーまたは基本認証の資格情報を無効にします。
- 権限の確認:API資格情報を管理する際、割り当てられたロールを確認し、必要な権限のみが付与されていることを確認してください。
- IP制限の考慮:セキュリティ強化のため、API資格情報に許可されたIPアドレスを追加して、リクエストの発信元を制限します。
安全なWebhook通信:
- 新しいHMACキーの生成:HMACキーで保護されたWebhookを使用している場合、これらの再生成が必要な場合があります。Customer Areaの [デベロッパ] > [Webhooks] に移動します。更新するWebhookの設定を選択し、編集オプションを選びます。[セキュリティ] の下で、新しいHMACキーの [生成] オプションを使用してください。
- システムの更新:新しく生成されたHMACキーをコピーして、受信Webhookの検証を行うシステムに安全に保管します。
- キー移行の処理:新しいキーが反映されるには時間がかかります。新しいキーを生成した直後に、キューに入っているWebhookがまだ古い署名を使用している可能性があるため、以前のキーで署名されたWebhookを検証できるようシステムを準備する必要があります。
提供されたドキュメントリンクから導き出されたこれらの手順は、侵害された可能性のある認証情報(API、HMAC)のリセットと、Customer Areaのユーザーアクセスやパスワードの管理に焦点を当てています。
詳細については、当社の参考資料をご覧ください。
