Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

クレジットカード情報漏えい事件

カード漏洩はビジネスを止める可能性がある

1日2件のカード情報漏洩事件発表というのは珍しいかも知れません。デジブックオンラインがカード情報漏洩を発表していました。(※なので珍しく1日2件記事をUPします) www2.uccard.co.jp ■公式発表 弊社が運営する「みんなのデジブック広場」への不正アクセ…

石井スポーツは2サイト閉鎖している

米国の独立記念日(7月4日)を祝っての祝砲?なのかと思う程に、ECサイトからのカード情報漏洩事件が立て続けに発表されています。スキー用品販売で有名な石井スポーツも被害を受けた様です。 www2.uccard.co.jp ■公式発表 弊社が運営する「Ski&Winter Sport…

ECサイトは狙われ続けている

2019年下半期初のカード情報漏えいが発表されてました。そしてやはり、EC-CUBEだったので、今後も同じ攻撃が続くのかなと予感させます。 www2.uccard.co.jp ■公式発表 弊社が運営する「バイクパーツ・バイク用品の通販ゼロカスタム」への不正アクセスによる…

富洋観光開発のカード漏えい

またECサイトからのクレジットカード漏洩事件です。とは言え、漏洩原因が「Heartbleed」というのは意表を突いてました。 www.security-next.com 洋菓子や和菓子の通信販売サイト「見波亭」の旧サイトが不正アクセスを受け、顧客のクレジットカード情報が流出…

レスターシティのカード情報漏洩

レスターシティと言えば英プレミアムリーグの強豪チームの1つで、岡崎選手が在籍している(もうすぐ退団しそうですが)チームですが、ここのWebサイトも侵害を受けた様です。 www.leicestermercury.co.uk Leicester Cityによると、オンラインストアのユーザ…

熊本ワインショップのカード情報漏えい

またカード情報漏えい事件が報じられていました。 www2.uccard.co.jp ■公式発表 「熊本ワインショッピングサイト」における情報流出に関するご報告とお詫び 2019 年 1 月 22 日、本サービスにおいてアプリケーションの機能を悪用した不正アクセスにより、本…

イオンカードの不正利用

このニュースを聞いた時に思ったのが、小さなECサイトとは違い一定以上のセキュリティ対策を実装している(であろう)金融系の会社でも結構な被害が出てしまうのか・・・という事でした。 www.nikkei.com ■公式発表 インターネットサービス「暮らしのマネー…

ECサイトは攻撃を受け続けているのではないか?

少し前にEC-CUBEの記事を書きましたが、現時点でクレジットカード決済が停止しているサイトを少し調べてみました。 (私感ですが)メンテナンス期間の明示なく、長期間クレジット決済を「システムメンテナンス」等の理由で止めている場合は、現時点でフォレ…

ジュニアーオンラインショップからのカード情報漏洩

最近UCカード(セゾン)系の重要なお知らせがフィーバーしている気がします。またカード情報漏洩が発表されていました。 www2.uccard.co.jp ■公式発表 弊社が運営しておりました「ジュニアーオンラインショップ(旧サイト)」への不正アクセスによる個人情報…

アネモネもEC-CUBEだった

またECサイトからカード情報が漏洩していました。残念ながら悪い予感は当たるもので、カード情報非保持(周辺)は破られ続けています。 www.security-next.com アクセサリーやバッグを取り扱う通信販売サイト「アネモネ」が不正アクセスを受け、クレジットカ…

ヤマダ電機は類似インシデントへの注意が不足していた

少し前にコジマが個人情報漏えいを発表していましたが、ヤマダもそれかなと発表を読むとカード情報漏えいであった様です。EC加盟店からのカード情報漏えいは比較的小規模な所が多かったのですが、上場企業であっても油断すると危ないのだと改めて感じます。 …

藤い屋のカード情報流出もEC-CUBE

またECサイトからのカード情報漏洩が発表されていました。もみじ饅頭を販売する藤い屋が影響を受けた様です。 www2.uccard.co.jp (1)原因 弊社が運営する「藤い屋オンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセス (2)個…

EC-CUBE構築サイトは攻撃を受け続ける可能性が高い

東京新聞のEC-CUBEに関する記事を読んで、納得する部分も多くありましたが、少し認識が違う点もありました。 www.tokyo-np.co.jp インターネット通販サイトで買い物中に偽のクレジットカード決済画面が現れ、利用客の入力したカード情報を盗まれる新手口の被…

小田垣商店のカード情報漏洩事件

ユニクロの件を調べようと思っていたら、カード情報漏洩事件が発表されていました。丹波の黒豆販売の老舗、小田垣商店が今度はターゲットとなってしまった様です。 www2.uccard.co.jp 2.クレジットカード情報流出の概要(1)原因・不正アクセスの手口弊社が…

エーデルワイン オンラインショップのカード情報漏えい

GW前に一度この記事に関して書いていたのですが、PCがフリーズして原稿データが吹っ飛んでしまったキタきつねです。カード情報漏えい(専門にやや近い)という事もあり、リベンジで記事を書いてみます。 scan.netsecurity.ne.jp 2018年10月31日に完了した調…

ベルアメールのカード情報漏えい

チョコレートの様に非保持は甘くは無かったようです。またカード情報非保持のECサイトからクレジットカード情報が漏えいした様です。 www2.uccard.co.jp ■公式発表 「ショコラ ベルアメール」のオンラインショップへの不正アクセスによる個人情報流出に関す…

ななつ星ギャラリーのカード情報漏えい

ななつ星サイトからの個人(カード)情報漏えい事件について少し調べていたのですが、時間が取れずまとめられていませんでした。 www.nikkei.com JR九州は12日、豪華寝台列車「ななつ星in九州」の関連商品を販売する通販サイトが外部から不正アクセスを受け…

パッチ管理は重要

またカード情報の漏えいが報じられていました。 www.security-next.com 同サイトを運営するレジナによると、5月16日にウェブサイトが改ざんされたもの。販売管理システムの脆弱性を突かれたものと見られ、同日から12月11日にかけて同サイトの入力フォームに…

サーカスのカード情報漏えい

子供服のECサイトもカード情報を漏えいしていた様です。 scan.netsecurity.ne.jp 公式発表 不正アクセスによるお客様情報流出に関するお詫びとお知らせ 2月25日に完了した調査機関による調査結果によると、同社オンラインショップのシステムの一部の脆弱性を…

本味主義のカード情報漏えい事件を考える

中華食材通販専門店の「本味主義」からカード情報が漏洩した可能性があるとSecurity Nextが報じていました。 www.security-next.com 同サイトを運営する友利によれば、システムの脆弱性を突く不正アクセスを受け、同サイトの顧客情報が外部に流出した可能性…

ログイン欄は狙われやすい

非保持であろうが、クレジットカード漏えい事件は定期的に発生するもの。そう考えた方が良いのだと思います。歯科書籍の通販サイトを運営するクインテッセンス出版から個人情報・カード情報が漏えいしたと発表されました。 www.security-next.com ■公式発表 …

クレジット決済には一定以上のセキュリティが必要

侵害を受けたECサイトの選択肢の1つだと思いますが、自社のセキュリティを(開発当初に)よく検討してシステム構築をしなかったツケと言う事もできるかも知れません。 www.security-next.com 同サービスは、電子書籍や楽譜、イラスト素材などデジタルコンテ…

カード情報非保持サイトからの漏洩は繰り返す

またカード情報非保持のサイトがカード情報を漏えいした事件が出ていました。 scan.netsecurity.ne.jp 株式会社B.F.Yokohamaは2月12日、同社が運営するうさぎ雑貨や飼育用品を扱う「バニーファミリー横浜ネットショップ」にて外部からの不正アクセスがあり一…

PayPayはDarkWebに捕まった

PayPayの100億円第2弾キャンペーンが始まっていますが、前回のキャンペーンに関連にて気になる海外記事が出ていました。DeepWeb&DarkWebを調査するGemini Advisoryによると2018年11月~12月にDarkWebに追加された日本のクレジットカード情報がPayPayに関係…

ドラックイレブンは2度調査を行う必要があった

個人情報だけ漏えいしたと思ったら・・・クレジットカードデータも漏えいしてましたという記事。最初のフォレンジック調査をした会社に専門性が無かったのかも知れませんが、何とも残念な2段階調査な気がします。 www.nikkei.com ■公式発表 不正アクセスによ…

広告パートナーのサプライチェーン攻撃

Magecardの広告パートナーサイト経由の攻撃手法には注意が必要です。British Airwaysが昨年PCI DSS準拠でもカード情報を大量に窃取されましたが、サプライチェーン攻撃だったようです。 thehackernews.com 最も悪名高いハッキンググループの1つであるMagecar…

PayPayは金融の洗礼を受ける

年末までこんな記事を書いてなくても・・・と思わなくはないのですが、PayPayは多くのセキュリティ専門家の方が取り上げた”事件”だったので、その対応策について考えてみたいと思います。 www.itmedia.co.jp ■公式発表 3Dセキュア(本人認証サービス)の対応…

非保持は来年も狙われる

カード情報非保持を狙った攻撃。ECサイトは狙われている存在である事を今一度思い出すべきかも知れません。 www.nikkei.com ■公式発表 不正アクセスによる個人情報流出に関するご報告とお詫び 電子書籍などのデジタルコンテンツを扱うマーケットプレイス「DL…

Caribou Coffeeのデータ漏洩

先週末で年内中の大きな締め切り仕事の山を越えたので、ようやく海外記事を読む気力がでてきました。日本ではあまり報道されてない漏洩事件も発生していたので取り上げてみます。 www.adweek.com Customer data was stolen from more than 200 Caribou Coffe…

カード情報非保持はゴールではない

カード情報非保持のECサイトからまたカード情報が漏えいしました。 www.security-next.com 銀座ウエストオンライン通販サイトが不正アクセスにより改ざんされ、クレジットカード情報を詐取する偽ページがサイト内に設置されていたことがわかった。一部顧客の…