Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Jaguar Land Roverの従業員情報漏えい

海外事件

Jaguar Land Roverの英国工場(Solihull)から従業員の個人情報が漏えいした事件がHuffingtonpostに掲載されていました。

www.huffingtonpost.co.uk

 An apparent data breach at Jaguar Land Rover’s West Midlands factory has disclosed the personal information of hundreds of workers and revealed their possible fate amid mass redundancies.

Documents containing the details of 647 agency staff at the luxury car firm’s Solihull site have been widely shared among the workforce.

 

One file, titled “release list”, shows hundreds of staff marked with red lines – suggesting they will be let go.

(HuffPost記事より引用)

 

◆キタきつねの所感

記事を読むと、Jagar Land Roverの従業員情報がファイルが漏えいしてる事が判明。647人の代理店(DHL)スタッフの情報が漏えいした模様で、HuffPostが入手した情報では、名前、給与番号、教育記録、そしてスタッフが何日病欠したかまで記載されていたとの事。別なリストでは過去の怪我の記録や、身体障害まで記載されていたとあります。また1つのファイルは『release list』(解雇予定リスト)と題されており、

記事に掲載されていたリストのコピー画像は、Excelのリストで、でスタッフがマーキングされており、赤が解雇予定と注意書きも書かれていました。

この内容が5/25に報じられると、Jagar Land Rover社は最初”フェイクニュース”だと否定したとの事。

Jagar Land Roverは4/14に2018-2019年に1000人の解雇を発表しており、その中には今回の情報漏えい対象のSolihull工場が含まれていました。

www.bloomberg.com

フェイクニュースというには、状況証拠が揃いすぎている事もあり、HuffPostの続報に対してJagar Land Rover社は内部調査を実施すると回答していますので、おそらく内部情報が実際に流出してしまったのだろうと思われます。この事件が5月25日に適用開始されたGDPRにひっかかるのか分かりませんが、従業員情報の管理という面で、Jagar Land Roverには問題があったのは間違いありません。

総務/人事系から漏れたと思われる漏えいファイルですが、HuffPostの記事に掲載された画像を見ると、Excelスプレッドシート)ファイルに見えます。だとすれば、事件から気づくべき一般的な対策としては、読み取りパスワードではないでしょうか。オフィス系の読み取りパスワード設定は、AES暗号になるはずですので、(すくなくてもHuffPost記者が開けなかった可能性があるという点では)これだけでも事件影響はかなり軽減できたのではないかと思います。

 

長いリムジンのイラスト

 

 

更新履歴

  • 2018年6月10日PM(予約投稿)

平文パスワード保存するなら会員DBを持つべきではない

つぶやいてみた。

 キルフェボンECサイトが会員情報を漏えいしていたとの記事がSecurity Nextに出ていました。

www.security-next.com

 取材に対し同社は、不正アクセスを受けた原因や経緯について委託しているシステム会社で調査を進めている状況と説明。影響を受けたアカウント数についても調査段階であり、具体的な件数など詳しい被害状況については判明次第、公表するとしている。

流出したパスワードの状態に関して、ハッシュ化やソルトの追加状況は、セキュリティ上の問題で回答できないとコメントを避けた。

(Security Next記事より引用)

 

■公式発表

 メールアドレスおよびパスワード情報流出について

 

流出した情報は登録済のメールアドレスとパスワードで、名前や住所、カード情報の流出は確認されておりません。

本件に関して全力で不正アクセスを許した原因を調査中ですが、現時点ではまだ進入経路が判明していないため、サービスの一時停止を行った次第であり、会員様およびご関係の皆様には、多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

(公式発表より引用)

 

◆キタきつねの所感

詳細情報が無いので不正アクセスがどうやって分かったのかが分からないのですが、もしかすると、2億件の個人情報・・・に入っていたことから流出が分かったのかも知れません。

www.itmedia.co.jp

この個人情報ファイルは、プレミアム・アウトレットの流出データも含まれていたと言いますので、TroyHunt氏がDarkWebで見つけたファイルに入っていた可能性もありそうです。

 

I've Just Added 2,844 New Data Breaches With 80M Records To Have I Been Pwned

 

余談が過ぎましたが、Security Nextさんのするどい突っ込み、パスワードはハッシュ化あるいはソルティングされて保存されていたのか?という質問に対して、「セキュリティ上の問題で回答できない」は、あまりに無防備な回答ではないでしょうか。私には”つまりやってない”以外にこの回答は読み取れません。

 

これが事実だとすれば、委託されていたシステム会社、及びその監督責任があったキルフェボンはWebで会員DBを持つ(構築する)のにふさわしくなかったのではないでしょうか。

 

ハッシュ化されていたパスワードが、レインボーテーブルで解読された・・・であればまだ分かるのです。でですが、ハッシュ化してませんでした。ごめんなさい・・・は、会員が最低限期待するセキュリティレベルを維持できてなかったと思います。

特に委託されていたシステム会社がどこだかは分かりませんが、パスワード平文保管を是としていたのだとすれば、システム会社・・であるとは思えません。

 

ECサイトで会員DBを構築される所の担当は、せめて以下の記事くらいは読んでおいて欲しいものです。

www.atmarkit.co.jp

 

フルーツタルトのイラスト

 

更新履歴

  • 2018年6月10日AM(予約投稿)

 

 

日本型CISOは経営層との距離が肝心

つぶやいてみた。

日本ネットワーク・セキュリティ協会(JNSA)がCISOハンドバックを公開した件が、Zdnetに掲載されていました。

japan.zdnet.com

CISOハンドブック

www.jnsa.org

◆キタきつねの所感

読んでみると、よくまとまっていますが・・・感覚的には堅苦しい作りになっているなと思います。経営層向けという面もあるからかも知れませんが、時間が無い(&CISOとしての知見がまだ足りない)役員級のCISOに読ませる内容としてはどうかなと考えてしまうのは、内閣サイバーセキュリティセンターなどが昨年出した『ネットワークビギナーのための情報セキュリティハンドブック』が頭にあったからかも知れません。

www.nisc.go.jp

もっと読みやすく(頭にスッと入りやすいように)作れなかったのかな・・・と思いますが、必要な事は一通りまとまっているので、読み手の頑張りでカバーされるべきなのでしょう。因みに、読みやすくと工夫されていると思ったのはコラムの解説でした。(勉強になりました)

 

Zdnetの記事では、IPAのCISOの組織上での役職データを出していました。そのデータによると、日本のCISOで、経営会議に出席が可能そうな取締役・執行役は36.9%しかいません。(英語ではCISOの最後のOがOfficer、つまり役員級を指しています)そうであるならば、このハンドブックの対象者である日本型のCISOは、経営層や、その意思決定から遠ければ遠い程、ハンドブックに書かれているCISOの役割を実行する事は困難になる可能性が高いかと思います。

CISOが経営層から遠いかも知れない人が割り当てられている日本企業の現状を考慮して、”橋渡し役”の必要性が問われている訳ですが、単にITシステムに詳しいからという理由だけでCISO(あるいはCISO補佐)を任命し、経営層がサイバーセキュリティ経営の責務を丸投げし、でも大きな権限は与えず、予算は出さない・・・というのは経営層の責務を果たしてないのかも知れません。

 

企業や組織のトップにセキュリティのリーダーシップを求めるが、多忙を極めるトップが実務に近い領域にまで関わるのは難しい。

Zdnet記事より引用)

 

この記事にある、CISOは知見が無くても仕方無い・・という日本企業の現状は、現時点ではそうなのかも知れませんが、私はこのままで良いとは思いません。将来CISOになり得るかも知れないCISO補佐が育った頃には・・・私は海外企業が引抜をかけてくると思います。

CISOは責務が重い訳であり、だからこそその待遇も良くしなければいけなりません。米国では優秀なCISOのリクルートが盛んです。欧米企業並みに、役員級の待遇・・とまではいかないのかも知れませんが、それなりの対価を払う事で貴重な人財を守る事も、これからの経営層には必要な事ではないでしょうか。

 

参考:

forbesjapan.com

 

 

ピラミッド型組織のイラスト

 

更新履歴

  • 2018年6月2日AM(予約投稿)

ディノス・セシールの会員を責めない姿勢

不正アクセス事件 つぶやいてみた。

セシールオンラインショップで中国のIPから不正アクセスがあり、490件の不正ログインが成功した件がSecurity-Nextの記事に出ていました。

www.security-next.com

■公式発表

弊社「セシールオンラインショップ」への不正アクセスとお客様情報流出の可能性に関するお詫びとお知らせ[第2報]

弊社「セシールオンラインショップ」への不正アクセスとお客様情報流出の可能性に関するお詫びとお知らせ

 

今回の攻撃では、不正なログインの試行に用いられた1938件のメールアドレスすべてが、登録されている顧客IDと一致。同社は、情報流出の可能性が高いとして調査を進めていたが、同社経由の流出ではなく、攻撃リストから同社顧客と一致しないデータをふるい落とす「スクリーニング処理」が行われたリストが用いられたとの調査結果を明らかにした。

同社によれば、攻撃者は既存登録者のメールアドレスを重複して登録できない「新規登録」の機能を悪用していたという。同機能ですでに顧客登録済みのメールアドレスであるか事前に確認。選別したリストを用いてログインを試行したと見られる。

(Security Next記事より引用)

 

ディノス・セシールは、最近はディノス側の方が何度もパスワードリスト攻撃を受けており、その攻撃を多くを撃退(防衛)していましたが、今回はどうやら不正アクセスが成立してしまったようです。その攻撃手法として、「新規登録機能の悪用」が気になる所。今回の事件では、ディノス・セシールから2回の公式リリースが6/6と6/8出ているので、第2報を見てみますと、

 

1.本件不正アクセスについて
弊社が運営する「セシールオンラインショップ」において、6月2日(土)10時19分~22分にかけて同一IPアドレス(中国)より、メールアドレス・パスワードを使った、“なりすまし”による不正アクセスが発生し、その一部が不正ログインされ、お客様情報(氏名、所有ポイント数)が第三者に閲覧された可能性があることが判明。そのため、攻撃元IPアドレスを自動遮断処理によってアクセス不可の状態に遷移させたものの、その後も他の複数IPアドレス(全て中国)から不正ログイン試行が続いたため、プロバイダー単位のアクセス遮断対応を実施。

 

≪今回の不正アクセス要因≫
弊社内で顧客情報アクセスログ等を6月6日(水)までに確認したところ、不正なアクセスログは検知されませんでした。同日に外部の調査機関(TIS株式会社)に本件調査を依頼し、本日朝時点で本件は弊社からお客様のメールアドレスが流出したのではなく、「セシールオンラインショップ」の新規顧客登録申請時の二重登録防止機能を悪用した、リストの「スクリーニング」であったことが判明しました。

外部調査機関によると今回の不正アクセスの手段は、以下の通り考えられるとのことです。
①外部で不正に入手したリストのうちメールアドレスを用いて、弊社ECサイトにて「新規顧客登録申請」を行う。
②すでにご登録のあるメールアドレスでは二重に登録ができない機能を悪用し、登録済みのメールアドレスであることを確認。
③弊社ECサイトで登録済みと確認ができたメールアドレスでリストを生成し、外部で不正に入手してあったパスワードにより不正ログインを試行。

上記の根拠としては以下の通りです。
①6月2日(土)午前0時頃から、165,038件(※)と通常以上の新規顧客登録申請があった
②うち3,533件については、すでにお客様登録があったため新規顧客登録はできなかった
③6月2日(土)午前10時過ぎから不正アクセスを受けた1,938件全てが上記3,533件に含まれていた

セシールのリリースより引用)

 ◆キタきつねの所感

基本的なところで、まず最初に書かなければならないのは、ディノス・セシールが悪かったかと言われれば、パスワードを他サイトで使いまわしをする会員が悪い事は間違いありません。この手の事件が発生する度に、ディノス・セシールは、会員に対して(パスワードの使いまわしをしないように)啓蒙の情報を発信しています。

それでも、パスワードリスト型攻撃を受け続けているのです。まずは会員を責めないこのディノスセシールの企業姿勢というのは高く評価されるべきだと思います。

今回の事件に関しても、不正アクセスが成立してしまっていますが、防御側は3分程度で攻撃を検知し、攻撃IPの自動遮断対策に移っています。ここまでのスピードを持って対処できない企業も多いのではないでしょうか。

もう1点すごいなと思うのが、6月2日に攻撃を受けて、事件の自社でのログ調査を6月6日に終わらせており、6月8日には事件の原因まで特定、リリース発表までに至っている点は、賞賛に値すべきだと思います。

(次の情報セキュリティ事故対応アワードにもノミネートされそうな・・・)

 

多くの企業が、「サーバの脆弱性を突かれて個人情報が漏えいしました」とお茶を濁した様な、脆弱性って何だったのですか?と聞きたくなる事故発表しかしない中、こうした他社に参考になるような発表こそ、日本企業が追い求める情報連携のあるべき姿(の1つ)といえるかも知れません。

 

・・・と書いてきて、とは言えディノス・セシール側がやるべきだった(かもしれない)事も気づきました。

それは、夜中の短時間に16万件の新規登録申請が行われ(おそらくツール試行でしょう)、3500件がエラーとなった所です。ログに出ていた訳ですので、ここを監視していれば、事件を防げたか、異常値として監視警戒体制を強められた気がします。

それ以外にも、当然ディノス・セシール側でも気づいていると思いますが、海外(中国)からの同一IPによる短時間での(ツールと推測される)新規登録について、制限をかける事も出来たのかと思います。

今回の事件では人員体制が手薄な真夜中を狙って新規登録がされていますので、やはりAI的な対策しか難しいかったかも知れません。だとすれば、考えられる有効な対策としては、リスクベース認証でしょうか。上記の怪しげな条件は、確実にスコアに反映されると思うので、まず入り口(新規登録)の部分から抑え、その後の不正アクセスでもリスクベース情報を有効に使えれば、効果はあったと思います。

継続的に攻撃を受けている事を考えれば、新規登録への強化対策が無いと今後もリスト型攻撃が成功する可能性が高くなりますので、ディノス・セシールが熟慮の上で実装する対策が、有効な策として他社もよく見ておく必要がありそうです

 

参考:

foxsecurity.hatenablog.com

 

 

小学校の授業のイラスト(女性教師)

 

 

更新履歴

  • 2018年6月9日AM(予約投稿)

トップガンからの気づき②

つぶやいてみた。

先日の名和さんから聞いた話のメモが残っていたのでもう少しご紹介。

www.nhk.or.jp

・機微な情報を持つ、標的型攻撃の対象となる方は、SNSでの情報発信は攻撃の際に使われるので気をつけた方が良い。

・PTA、子供の情報、写真・・SNSで発信された情報をAIが分析し攻撃情報として使う。特に写真は気をつけた方が良い。

・標的型攻撃の手法。相手を信じ込ませてからひっかける。

・趣味がゴルフだとすると、その場に誘導し、異性が待ち構える。ひっかかるのは、ほとんど男性。マタハリ攻撃。

・情報のハブとなる所、例えば人事部。仕事が多忙、その隙をついて攻撃する。電話・Facebook・社内ポータルを乗っ取って近づく手法も。

・Hotなのはオンラインゲーム。チャット見ると色々分かる。

 

◆キタきつねの所感

自分のメモから起こしているので、少し分かりにくいかも知れません。もう少し具体的な事件事例の侵入手口なども講演では話してらっしゃいましたが、内容は伏せるべきかと思うので、ソーシャルエンジニアリングの部分と、最近注目すべき分野して、オンラインゲームの部分だけを気づきとして挙げておきます。

SNSの話は、名和さんが日々取り組まれている国家関係(あるいは重要インフラ)のレイヤーだけでなく、今後一般化される攻撃になり得る気がします。昨年ビジネス詐欺メールで、昨年末にJAL等が被害を受けましたが、人をひっかける(ソーシャルエンジニアリング)部分に、ビックデータとAIを活用してくると、より本物らしいビジネスメールが来たり、水のみ場に誘導された事も気づかないかも知れません。あるいは、分析された情報を元にしたハニートラップ・・・経営陣がひっかかっただけで大きな影響を受けるかも知れません。

そうした意味では、ハリウッド(スパイ)映画の世界が実現しつつある、名和さんは、そう警鐘を鳴らしていたと言えるのかも知れません。

 

講演後に直接お話を伺った際にも少し聞いたのですが、観光客がカシャっと日本で名和さんの写真を撮ったら、それが外国のサイトで写真と場所が緋付けられてUPされていたという例示(おそらく本当の話でしょう・・・)で話されていました。

顔認証(AI)でDB(ビックデータ)照合をかけて、タグ付けする。シンプルですが、これが潜在的に攻撃対象となる方すべてで行われた場合、どこで誰が何をしていた、、、という事まで攻撃型に筒抜けになってしまいます。情報が蓄積されることによって、様々な攻撃に対するデータ活用が考えられます。

 

以前書いたこの記事を思い出しました。犯罪調査・・・という名目とは違うところで、中国だったり、米国は情報を集めている、そう考えても良い気がします。

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

普通の人は、情報を収集されることに抵抗感が無いかも知れませんが、Facebookの情報漏えい事件の様に、最終的なターゲットに繋がっているのが、自分なのかも知れないと考えると、自分の情報を自分でコントロールできない、こうした国家的な動きについては注意を払うべきかも知れません。

攻撃する際の対象。ハブとなる人=忙しい人・・・有能が故に仕事が集中し、その結果として注意力が散漫になる。攻撃者はそれを知っている訳です。IT部門(防衛)が深夜・休日に手薄になる事と似ているかも知れません。残念ながらそうした防衛側の実情を、攻撃側はよく知っている訳です。

だとすれば・・・そうしたハブとなる人(部門)に対する手当てを企業側が行わない(予算・人・技術を与えない)事は、将来のセキュリティインシデントに繋がってしまう不作為となりかねません。名和さんは、そうした懸念が顕在化しつつあると言っていたように感じました。

最後はオンラインゲーム。射幸心を煽るような課金アイテム、アバター等のデータ自体の販売、RMT・・・セキュリティの脆弱性を常に突かれている業界である事は理解していましたが、ゲームの仮想空間内だけの問題ではなくなりつつあり、例えば人のアカウントを乗っ取るために、外部の個人情報を収集して(自分のためにまず活用=悪用し)、活用し終わったら(関係が無いデータを)DeepWebで販売(公開)する。

今までの犯罪の行動パターンとは違うので、この話を聞いてもピンと来ませんでした。オンラインゲームをやってない多くの方もそうかも知れません。こうした動き・・・オンラインゲームのチャットを追いかけるとよく分かるそうです。いろいろな所にアンテナを張れないと、講演の中で一番考えさせられた話題でした。

 

 

トランプのイラスト「エースのカード」

 

更新履歴

  • 2018年6月9日AM(予約投稿)

メニコンはノーガード戦法であったのか?

つぶやいてみた。 不正アクセス事件 クレジットカード情報漏えい事件

最近の日経xTECHさんの記事は、プレミアム・アウトレット関連の報道を含め、深い取材内容に敬意を表します。メニコンWebサイトからの個人情報漏えいの原因がOpenSSLである事を記事に書かれていました。また、その事件発表のサイトが同じ脆弱性を抱えたサーバである事も追加検証されていました。

tech.nikkeibp.co.jp

4年経った2018年になってもHeartbleedの脆弱性を残したまま運用していた可能性の高いWebサーバーが見つかった。メニコン子会社のダブリュ・アイ・システムのWebサーバーだ。メニコンは5月17日、そのWebサーバーからクレジットカードなどの個人情報が漏洩したことを明らかにした。

 

メニコンの子会社ダブリュ・アイ・システムが運営する「A-Web倶楽部」。情報漏洩が判明した後、おわびページを表示している

(日経XTech記事より引用)

 

f:id:foxcafelate:20180609181344j:plain

◆キタきつねの所感

最近、森永乳業メニコンと実際の被害(不正利用)までつながっている事件が出てきています。ECサイトが丁度、実行計画/改正割賦販売法の影響で、システム対応変更時期に来ている事からその対応中を狙って攻撃を仕掛けてきているハッカーが多いともいえますし、常にECサイト脆弱性を探されていると考える事もできます。

とは言え、今回の「A-Web倶楽部」の情報漏えい事件については、企業側のセキュリティに対する姿勢が疑われても仕方が無い、もっと乱暴に言うならば、ノーガード戦法だったのか?と思える程の致命的な脆弱性を突かれてしまった様です。

 だが、4年経った2018年になってもHeartbleedの脆弱性を残したまま運用していた可能性の高いWebサーバーが見つかった。メニコン子会社のダブリュ・アイ・システムのWebサーバーだ。メニコンは5月17日、そのWebサーバーからクレジットカードなどの個人情報が漏洩したことを明らかにした。

(日経XTech記事より引用)

OpenSSLの脆弱性「HeartBleed」ですか・・・と、2014年のHeartBleedから始まった当時のバタバタについて懐かしく思い出してしまいました。

jp.globalsign.com

当時はあらゆる企業でこの対応について大混乱していたのですが、メニコン(子会社)は、当時の”お祭り”をまったく知らなかったのでしょうか?

たとえそうであったとしても、Web脆弱性診断を定期的に実施していれば、普通に指摘が上がってきていたと思います。何らかの事情でOpenSSLの脆弱性を放置するしかなかったのだとすれば、WAFを入れる等々の緩和策もあったと思うのですが。。。

 

その後の、脆弱性のあるWebサーバで事件に対するお詫びを掲載していた件については、Equifaxの事件サイトが混乱した件を思い出しました。

news.mynavi.jp

フィッシングサイトの乱立と含め、事後対応というのは日大アメフト部の例を挙げるまでもなく、慎重に進めないと影響が拡大してしまう訳ですが、結局のところ、事件が発生して慌てて対応する側にはミスが出やすいのはいたし方がないかと思います。だからこそ、インシデント対応計画で事前にありそうな事態を想定しておく、訓練しておく、そうした平時の対応が重要になっているのではないでしょうか。

いずれにせよ、世の中に知られていた(はずの)大きな脆弱性を、メニコン側が4年放置し、高い代償を払うことになった事を、他社は(特にパッチ管理の重要性について)よく見ておくべきかと思います。

  

 

 

 

ã³ã³ã¿ã¯ãã¸ã£ã°ãªã³ã°ã®ã¤ã©ã¹ã

 

更新履歴

  • 2018年6月9日PM(予約投稿)

 

こうのとりが知らせるのが遅くないか?

つぶやいてみた。 クレジットカード情報漏えい事件 不正アクセス事件

こうのとり検査薬.NETが不正アクセスによりカード情報を漏えいしていたかも知れないと5/23に発表していました。

kensayaku.net

■公式発表

 こうのとり検査薬.NET」への不正アクセス発生についてのご報告とお詫び

 

事件の状況 
  • 2017年8月7日~2018年1月18日までに新規でクレジット決済を利用した11,314名のカード情報が漏えいした可能性が高い
  • 流出した可能性のある個人情報
    • カード会員名
    • クレジットカード番号
    • クレジット有効期限
    • セキュリティコード

 

原因

  • 外部からWebアプリケーションの脆弱性を利用した攻撃によりクレジットカード会員データ等が抜き取られた可能性

公表が遅れた経緯

  • クレジットカード決済代行会社と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対策準備を整えてからの告知が不可欠であると説明を受け、発表は調査会社の調査結果、およびカード会社との連携を待ってから行った

 

◆キタきつねの所感

2つの点で(ほとんどの情報流出事件がそうではありますが)、発表は曖昧です。

1つは『外部からWebアプリケーションの脆弱性を利用した攻撃』なるものです。その脆弱性は何であるのか?何故発表しないのか?発表できない程に単純なもの(SQLインジェクション等々)であったのか?という部分です。

2つ目は、1月の事件が公表されるにしては何をしていたの?という部分です。

  • 社内調査
  • フォレンジック調査(カード情報漏えいの疑いがある時はほぼ必須)
  • 決済代行会社/カード会社との調整
  • (事件公表の判断)

この内、社内調査は1-2週間程度で普通に調べられる事は終わると思います。

フォレンジック調査は契約内容や事件の解析困難さ(ログ残っているのか等々)によって違うかと思いますが、1-2ヶ月で最終報告書を受領できるケースが多いようです。

この試算だと1月末までに社内調査完了+フォレンジック調査会社と契約が出来ると思うので、3月末~4月上旬までにはフォレンジック調査会社の最終報告書の受領まで(最短で)たどり着けたと思います。1ヶ月半~2ヶ月も、カード会社との調整がかかるとは思えないのですが、この背景には何があるのでしょうか?もしかすると、森永乳業メニコン子会社の急ぎのフォレンジック調査が優先された・・・という可能性もあるかも知れませんが、セキュリティコードまで漏れている・・・というECサイト側の大きな実装ミスあるいは、決済代行会社側のミスが疑われるケースですので、改正割賦販売法の6/1施行を前にギリギリまで時期を計算して発表したという事なのかも知れません。

 

 

 

 

妊娠検査薬のイラスト

 

更新履歴

  • 2018年6月10日AM(予約投稿)