Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

PCI DSS

カード漏洩はビジネスを止める可能性がある

1日2件のカード情報漏洩事件発表というのは珍しいかも知れません。デジブックオンラインがカード情報漏洩を発表していました。(※なので珍しく1日2件記事をUPします) www2.uccard.co.jp ■公式発表 弊社が運営する「みんなのデジブック広場」への不正アクセ…

石井スポーツは2サイト閉鎖している

米国の独立記念日(7月4日)を祝っての祝砲?なのかと思う程に、ECサイトからのカード情報漏洩事件が立て続けに発表されています。スキー用品販売で有名な石井スポーツも被害を受けた様です。 www2.uccard.co.jp ■公式発表 弊社が運営する「Ski&Winter Sport…

ECサイトは狙われ続けている

2019年下半期初のカード情報漏えいが発表されてました。そしてやはり、EC-CUBEだったので、今後も同じ攻撃が続くのかなと予感させます。 www2.uccard.co.jp ■公式発表 弊社が運営する「バイクパーツ・バイク用品の通販ゼロカスタム」への不正アクセスによる…

PCI DSSセキュリティフォーラムに行ってきた

PCI(金融)系でない方はあまり興味が無いかと思いますが、6/11に東京国際フォーラムで開催されたPCI DSSセキュリティフォーラムに行ってきました。 去年は都合が悪く出席できませんでしたが、ここ何年かは参加している(壇上に居た事もありますが・・)セミ…

レスターシティのカード情報漏洩

レスターシティと言えば英プレミアムリーグの強豪チームの1つで、岡崎選手が在籍している(もうすぐ退団しそうですが)チームですが、ここのWebサイトも侵害を受けた様です。 www.leicestermercury.co.uk Leicester Cityによると、オンラインストアのユーザ…

熊本ワインショップのカード情報漏えい

またカード情報漏えい事件が報じられていました。 www2.uccard.co.jp ■公式発表 「熊本ワインショッピングサイト」における情報流出に関するご報告とお詫び 2019 年 1 月 22 日、本サービスにおいてアプリケーションの機能を悪用した不正アクセスにより、本…

ジュニアーオンラインショップからのカード情報漏洩

最近UCカード(セゾン)系の重要なお知らせがフィーバーしている気がします。またカード情報漏洩が発表されていました。 www2.uccard.co.jp ■公式発表 弊社が運営しておりました「ジュニアーオンラインショップ(旧サイト)」への不正アクセスによる個人情報…

アネモネもEC-CUBEだった

またECサイトからカード情報が漏洩していました。残念ながら悪い予感は当たるもので、カード情報非保持(周辺)は破られ続けています。 www.security-next.com アクセサリーやバッグを取り扱う通信販売サイト「アネモネ」が不正アクセスを受け、クレジットカ…

PayPayの逮捕事例

大きなインセンティブが動く時には、攻撃側が敏感に狙うのは「金銭」に近いモノであり、そこのセキュリティが甘いと大きな被害を受ける可能性がある、この記事はそれを裏付けるかと思います。 www.nikkei.com 他人のクレジットカード情報を悪用し、スマート…

ヤマダ電機は類似インシデントへの注意が不足していた

少し前にコジマが個人情報漏えいを発表していましたが、ヤマダもそれかなと発表を読むとカード情報漏えいであった様です。EC加盟店からのカード情報漏えいは比較的小規模な所が多かったのですが、上場企業であっても油断すると危ないのだと改めて感じます。 …

藤い屋のカード情報流出もEC-CUBE

またECサイトからのカード情報漏洩が発表されていました。もみじ饅頭を販売する藤い屋が影響を受けた様です。 www2.uccard.co.jp (1)原因 弊社が運営する「藤い屋オンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセス (2)個…

EC-CUBE構築サイトは攻撃を受け続ける可能性が高い

東京新聞のEC-CUBEに関する記事を読んで、納得する部分も多くありましたが、少し認識が違う点もありました。 www.tokyo-np.co.jp インターネット通販サイトで買い物中に偽のクレジットカード決済画面が現れ、利用客の入力したカード情報を盗まれる新手口の被…

小田垣商店のカード情報漏洩事件

ユニクロの件を調べようと思っていたら、カード情報漏洩事件が発表されていました。丹波の黒豆販売の老舗、小田垣商店が今度はターゲットとなってしまった様です。 www2.uccard.co.jp 2.クレジットカード情報流出の概要(1)原因・不正アクセスの手口弊社が…

エーデルワイン オンラインショップのカード情報漏えい

GW前に一度この記事に関して書いていたのですが、PCがフリーズして原稿データが吹っ飛んでしまったキタきつねです。カード情報漏えい(専門にやや近い)という事もあり、リベンジで記事を書いてみます。 scan.netsecurity.ne.jp 2018年10月31日に完了した調…

ベルアメールのカード情報漏えい

チョコレートの様に非保持は甘くは無かったようです。またカード情報非保持のECサイトからクレジットカード情報が漏えいした様です。 www2.uccard.co.jp ■公式発表 「ショコラ ベルアメール」のオンラインショップへの不正アクセスによる個人情報流出に関す…

パッチ管理は重要

またカード情報の漏えいが報じられていました。 www.security-next.com 同サイトを運営するレジナによると、5月16日にウェブサイトが改ざんされたもの。販売管理システムの脆弱性を突かれたものと見られ、同日から12月11日にかけて同サイトの入力フォームに…

本味主義のカード情報漏えい事件を考える

中華食材通販専門店の「本味主義」からカード情報が漏洩した可能性があるとSecurity Nextが報じていました。 www.security-next.com 同サイトを運営する友利によれば、システムの脆弱性を突く不正アクセスを受け、同サイトの顧客情報が外部に流出した可能性…

ログイン欄は狙われやすい

非保持であろうが、クレジットカード漏えい事件は定期的に発生するもの。そう考えた方が良いのだと思います。歯科書籍の通販サイトを運営するクインテッセンス出版から個人情報・カード情報が漏えいしたと発表されました。 www.security-next.com ■公式発表 …

クレジット決済には一定以上のセキュリティが必要

侵害を受けたECサイトの選択肢の1つだと思いますが、自社のセキュリティを(開発当初に)よく検討してシステム構築をしなかったツケと言う事もできるかも知れません。 www.security-next.com 同サービスは、電子書籍や楽譜、イラスト素材などデジタルコンテ…

PCI DSS v4は来年リリース予定

私の専門分野でもあるので少し書かせて下さい。PCI DSSv4はどうやら来年リリースの様です。 blog.pcisecuritystandards.org PCI DSS v4.0は、2020年末までにリリースされる予定はありません。リリースの具体的な時期は、開発期間中に寄せられたフィードバッ…

ドラックイレブンは2度調査を行う必要があった

個人情報だけ漏えいしたと思ったら・・・クレジットカードデータも漏えいしてましたという記事。最初のフォレンジック調査をした会社に専門性が無かったのかも知れませんが、何とも残念な2段階調査な気がします。 www.nikkei.com ■公式発表 不正アクセスによ…

PA-DSSの後継規定

PCI SSCから決済アプリケーションの国際セキュリティ基準であるPA-DSSの後継規定が公開されました。 blog.pcisecuritystandards.org PCIソフトウェアセキュリティ基準は、PCIペイメントアプリケーションデータセキュリティ基準(PA-DSS)とどのように異なる…

広告パートナーのサプライチェーン攻撃

Magecardの広告パートナーサイト経由の攻撃手法には注意が必要です。British Airwaysが昨年PCI DSS準拠でもカード情報を大量に窃取されましたが、サプライチェーン攻撃だったようです。 thehackernews.com 最も悪名高いハッキンググループの1つであるMagecar…

非保持は来年も狙われる

カード情報非保持を狙った攻撃。ECサイトは狙われている存在である事を今一度思い出すべきかも知れません。 www.nikkei.com ■公式発表 不正アクセスによる個人情報流出に関するご報告とお詫び 電子書籍などのデジタルコンテンツを扱うマーケットプレイス「DL…

Caribou Coffeeのデータ漏洩

先週末で年内中の大きな締め切り仕事の山を越えたので、ようやく海外記事を読む気力がでてきました。日本ではあまり報道されてない漏洩事件も発生していたので取り上げてみます。 www.adweek.com Customer data was stolen from more than 200 Caribou Coffe…

カード情報非保持はゴールではない

カード情報非保持のECサイトからまたカード情報が漏えいしました。 www.security-next.com 銀座ウエストオンライン通販サイトが不正アクセスにより改ざんされ、クレジットカード情報を詐取する偽ページがサイト内に設置されていたことがわかった。一部顧客の…

ECサイトの管理画面はパスワードだけで守れない

任天堂キャラクターの公式販売サイトも非保持でのカード情報保護を失敗したようです。 tech.nikkeibp.co.jp エディットモードは2018年12月7日、同社が運営する通販サイト「エディットモードショッピングサイト」が不正アクセスを受け、クレジットカード情報…

非保持サービス利用がゴールではない

どうやら国内3件目(私が知る限り・・・)のクレジットカード情報非保持のECサイトからのカード情報漏えい事件となりそうです。 www2.uccard.co.jp ■公式発表 弊社が運営する「ZOWHOW」への不正アクセスによる個人情報流出に関するお詫びとお知らせ このたび…

不正なJavaScriptがECサイトに仕掛けられる可能性

英国の格安コンタクト販売のVision Directがクレジットカードデータを含む顧客情報を漏えいした事を発表しました。 www.itgovernance.co.uk ■公式発表 Customer data theft(Vision Direct) What data has been affected? The personal and financial detai…

タオル専門店 伊織のカード情報漏えい事件について

地方新聞の小さな記事であり、カード情報も2145件程度ですが大きな影響がでてくるかも知れません。 www.ehime-np.co.jp ■公式発表 【重要】クレジットカード情報流出についてのお知らせ(伊織ネットショップ) タオル専門店の伊織(愛媛県松山市)は24日、…