Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

トキワオンラインショップの不正アクセス事件をまとめてみた。

合わせ酢や万能だし、お酢飲料、ビネガーなどを販売する「トキワオンラインショップ」が第三者からの不正アクセスを受け、クレジットカード情報を含む個人情報漏えいを12月20日に発表した件について、まとめてみます。

 

インシデントタイムライン

日時 出来事
2017年11月1日 クレジットカード決済代行会社よりカード情報流出の疑いの連絡
2017年11月2日 PCF社に調査依頼
2017年11月27日 PCF社から調査結果報告を受領
  ソフトウェアの脆弱性を修正(ECシステムの暗号化)
2017年12月20日 事件を公表

公式発表

事件の状況 
  • 2016年10月23日~2017年11月1日までクレジット決済を利用した6,679件の個人情報が外部に漏えいした疑い
  • 流出した可能性のある個人情報
    • カード会員名
    • カード番号
    • カード有効期限
    • セキュリティコード

原因

  • (サーバを管理委託しているKBKプラス社のウェブサーバに対し)システムに使用しているソフトウェアの脆弱性を突いた外部からの不正アクセスと推測される

再発防止策

  • ECシステムで暗号化通信を実現するために使われているソフトウェアの脆弱性を修正

 

www.kbk-net.co.jp

◆キタきつねの所感

運用委託を受けていた株式会社KBKプラスは「QBRIDGE」という通販統合パッケージを持っていましたので、恐らくこのパッケージソフトの脆弱性を突かれたのだと思われます。パッケージの詳細を見ると、色々機能的な特徴は記載されているのですが、セキュリティに関連する機能項目が”無い”ので、推測になりますが、PCI DSS対応(改修)をあまり考えて無かったのではないかと思います。

(パッケージソフトの提供に加えて)運用委託も受けている訳ですから、セキュリティコード流出(本来決済後に残してはいけないデータで、カード情報漏洩事件でセキュリティコードが漏えいしている際は、何らかの実装/設計ミスがあった可能性が高いといわれています)をしているのですから、サービスプロバイダーとしてPCI DSS対応をもっと前から行っていなかったのか?と疑問が出ます。

インシデントタイムラインについても、少しおかしいところがあります。それは11月27日にPCF社から報告書を受領していながら、事件を12月20日に公表するまでに1ヶ月かかっているところです。

7、公表が遅れた理由について

2017年11月1日の流出懸念からこのたびのご報告に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、決済代行会社と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は第三者調査機関の調査結果、およびカード会社との連携を待ってから行うことにいたしました。今回のご報告までお時間をいただきましたこと、重ねてお詫び申し上げます。(お詫びとご報告より引用)

公表が遅れた理由について、第三者調査機関(PCF社)の調査結果は11月27日であり、カード会社との連携に1ヶ月もかける理由が思いつきません。

他に理由がありそうだな・・と思ったのですが、

5、弊社の対策

また、調査会社の調査により指摘されたECシステムで暗号化通信を実現するために使われているソフトウェアの脆弱性の修正をいたしました

KBKプラス社のパッケージソフト「QBRIDGE」の脆弱性が事件の原因だった場合、トキワ以外にも相当数このパッケージソフトを使っているユーザ(潜在的にカード情報を流出しそうなECショップ)がいるので、他ユーザへの影響を考慮し、他社への影響を排除できるまで(暗号化対応完了まで)事件発表を待った可能性が高いのかなと推測しました。

 

お酢のイラスト
 

更新履歴

  • 2017年12月24日 AM (予約投稿)