Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

大麦工房ロアオンラインショップの不正アクセス事件

12月25日に大麦工房ロアのオンラインショップからクレジットカード情報が流出した可能性があると発表しました。この件について少しつぶやいてみます。

netshop.impress.co.jp

 

■公式発表 個人情報流出疑いに関するお詫びとご報告

 

インシデントタイムライン

日時 出来事
2017年8月7日 カード会社から決済代行会社を通じてカード情報漏洩の懸念がある旨連絡を受ける
  「大麦工房ロアオンラインショップ」を閉鎖
PCF社に調査依頼
2017年9月30日 PCF社から調査結果報告を受領
不正アクセスの直接的な証跡は発見されなかったが、クレジットカード情報が抜き取られた可能性が否定できない
2017年12月25日 事件を公表
事件の状況 
  • 2015年10月1日~2017年8月7日まで「大麦工房ロアオンラインショップ」にてクレジット決済を新規で利用したお客の情報が最大で24,780件流出したおそれ
  • 流出した可能性のある個人情報
    • クレジットカード番号
    • クレジットカード有効期限
    • セキュリティコード

原因

再発防止策

  • 決済代行会社が提供するリンク型システムへの移行(予定)
  • ショッピングサイトの脆弱性対策として、プログラムの修正など適切な対処を継続して実施

◆キタきつねの所感

カード会社側は、初期段階からECサイトからカード情報が流出したと判断していますが、非常に珍しい事に、PCF社のフォレンジック調査において、痕跡が出てこなかったとあります。

調査の中身は分かりませんので勝手な推測になりますが、フォレンジック調査に必要だったログが不足していたり、侵入の痕跡が不正アクセスハッカー)側が上手く消した、、などが考えられますが、侵入経路や手段が判明しない、、というのは何があったのだろうか・・と思ってしまいます。

とはいえ事件対策としては、リンク型への移行・・は良いのですが、

5、再発防止策
弊社は二度と同様の事案を起こすことのないよう、セキュリティ専門会社のアドバイスのもと、
ショッピングサイトのセキュリティ強化およびチェック機能の強化を実施してまいります。
(1)PCIDSS3.2に準拠した安全なシステムへの改善に全力で取り組んでまいります。(決済代行会社が提供するリンク型システムへ移行準備予定)
(2)ショッピングサイトの脆弱性対策として、プログラムの修正などの適切な対処を継続して実施してまいります。(公式リリースより)

については、(1)リンク型への移行は良いとして、(2)は、不正に侵入されてない自信があるのであれば、「適切な対処の継続」で良いのかと思いますが、入られた可能性があるとリリースを出す訳ですから、更に対策強化していく書き方の方が良かった気がします。

6、公表が遅れた経緯について
今回のご報告に至るまで、時間を要しましたことを深くお詫び申し上げます。
当初個人情報流出の疑いが生じた時点でお客様にご連絡し、注意を喚起すると共に、お詫び申し上げるべきではないかと検討いたしましたが、決済代行会社との協議の中で、「不確定な情報の公開はいたずらに混乱を招くおそれがあるため、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠である」との説明を受け、当該ショッピングサイトのクレジットのご利用は直ちに停止いたしましたが、公表・ご報告は外部の専門調査会社の調査結果により、事案の概要を把握した上でクレジットカード会社との連携を確保した後行うべきことと判断いたしました。(公式リリースより)

タイムラインでは、外部の専門調査会社の調査結果が9月30日ですので、クレジットカード会社との連携を確保するのに約3ヶ月という計算になります。普通では考えられない”確保期間”だと思いますので、(勝手な想像になりますが)事件を隠蔽しようと考えていた時間が含まっているように思います。

そして最後に、この事件もセキュリティコードが漏えいした事件となります。細かく集計をまとめきれてませんが、私が調べていた限りにおいて、2017年に国内で公表されたクレジットカード情報漏洩事件の約8割がセキュリティコードを漏えいしています。(ジェネシス・イーシー社ユーザ案件を1件をした場合:ユーザを個別カウントすると9割以上になります)つまり決済後にセキュリティコードを残している、PCI DSS上の実装違反です。既に2018年3月に向けて多くの企業が非保持あるいはPCI DSS準拠に取り組んでいるとは思いますが、実装ミスについては、今一度そのリスクが自社に無いか考えるべきなのではないでしょうか。でなければ、残念ながら2018年もカード情報漏洩事件は多く出てきてしまう可能性が高いかと思います。

 

 

関連情報

www.cedyna.co.jp

www.aeon.co.jp

www2.uccard.co.jp

www.jcb.jp

www.smbc-card.com

 

お菓子の詰め合わせのイラスト

 

更新履歴

  • 2017年12月28日 AM