Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

HB-101ネットショップ本店サイトへの不正アクセス事件をまとめてみた。

2017年11月15日、植物活力液や健康食品の製造・販売を行うフローラのECサイトHB-101ネットショップ本店サイト)が不正アクセスにより、クレジットカード情報635件が漏えいした可能性がある事を発表しました。この関連情報をまとめてみます。

インシデントタイムライン

日時

出来事

2017年4月22日

~2017年5月22日

不正アクセスにより、クレジットカード情報が流出したおそれ

 2017年5月22日

クレジットカード会社からクレジットカード情報流出の懸念があると指摘を受ける

クレジットカード決済の停止

ECサイト公開も停止
 (不明)

調査(フォレンジック調査)会社に調査を依頼

 2017年9月29日

第三者調査機関より、最終報告書を受領

 公式発表

原因
事件の状況 
  • 2017年4月22日~2017年5月22日までにクレジットカード決済を利用した顧客(最大635件)のクレジットカード情報が外部に漏えいした疑い
  • 流出した可能性のある個人情報
    • ローマ字指名(カード会員名)
    • カード番号
    • カード有効期限
    • セキュリティコード

再発防止策

  • セキュリティ専門会社のアドバイスのもと 

   ①Webサイト、Webサーバとも新システム(セキュリティ対策強化)に全て移行   

   ②新システムの運用業者を一元化(予定)   

   ③第三者機関による脆弱性検査を定期的に実施   

   ④社員教育等を通じて、セキュリティ保全を徹底 

公表が遅れた理由

平成29年5月22日の個人情報流出懸念から今回の発表に至るまで時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫びを申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招きかねませんので、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が望ましいと考え、弊社ECサイトでのクレジットカードのご利用は直ちに停止いたしましたが、発表は外部の第三者調査機関の調査結果を踏まえ、クレジットカード会社との連携を確保した上で発表すべきものと判断いたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

 

◆キタきつねの所感
いくつかの疑問が残る不正アクセス事件ですが、まず最初にやはりセキュリティコード漏えいについて触れなければなりません。何度も同じ事を(Blog初めて1ヶ月未満ですが・・)書かなければならないのは大変残念なのですが、EC事業者は決済後にセキュリティコードを保存する事は禁止されています。よってPCI DSSの観点で言ってもルール違反な運用をしていた(意図的であれ、そうでないにせよ)事になります。

次に問題だと感じるのは、「お詫び」の中でも触れられていますが、事故報告が遅いということでしょうか。5月に漏えいが判明して、9月末に最終レポートが出ていて、何故11月なのか?関係者と協議・・というのは他ECサイトの漏えい事件と比べても遅すぎる印象です。11月7日に不正アクセスを公表したタカゴルフは8月16日に事件が発覚し、最終レポート受領は同じく9月29日です。この事件より発表が遅いのは、何か他に事情があったのではないか?とも思えてしまいます。

もう1点気になったのは、対策案の記載で登場する、「新システム」なるものです。この部分の記載から事件時、Webサイト/Webサーバは新と旧の2システムで運用されていた様に思えます。そして旧サーバのセキュリティ脆弱性を突かれた、、、そんな想像をします。恐らくこれ以上の情報公開はされない気がしますが、何か情報更新がされましたら、続きを書きたいと思います。

 

関連ニュース記事netshop.impress.co.jpwww2.uccard.co.jp  

植物の苗のイラスト

 

更新履歴

  • 2017年11月20日 AM 新規作成