Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

OnePlusのカード情報漏えい事件をまとめてみた。

ITmediaの1月22日記事に、中国の須磨ーふとフォンベンダーであるOnePlusのオンラインストアからクレジットカード情報4万件が不正スクリプト被害により流出した可能性があるとの内容がありました。

 

www.itmedia.co.jp

 インシデントタイムライン

日時 出来事
2017年11月中旬~
2018年1月11日
ハッカーが不正スクリプトを決済ページにインジェクションしクレジットカード4万件が不正に転送されていた
2018年1月11日 OnePlusのユーザForumに11月にカードを使ったユーザ2名がクレジットカード不正があった旨を投稿。同様なユーザが多数いる事が発覚する
2018年1月16日 ForumにてOnePlusが調査中である旨を投稿
2018年1月19日 最大4万人のクレジットカード情報漏えい事件が発生した旨をOnePlusが公表
侵害を受けた可能性があるユーザ向けにメールを送信

 

■公式発表(ユーザForum)

forums.oneplus.net

■被害を受けたユーザ宛のメール内容

f:id:foxcafelate:20180128172946j:plain

 

事件の状況 
  • 2017年11月中旬~2018年1月11日までOnePlusサイトでクレジットカード購入したユーザ情報、最大4万件が漏えい
  • 漏えいした情報は

    クレジットカード情報(カード番号、有効期限、セキュリティコード)

     ※PayPal決済のユーザは影響無い

 

原因

  • システムの1台が攻撃を受け、決済ページに不正スクリプトを挿入され、ユーザのブラウザから直接キャプチャーされた情報を転送された

再発防止策

  • 侵害を受けたサーバを隔離し、関連システム全てを強化

 

◆キタきつねの所感

既にITmediaさんが詳しい記事を書いているので、この事件を取り上げるかどうか迷ったのですが、ユーザForumに気になる内容があったので、改めてまとめてみました。OnePlusが以前「Magento」を使ってていたので、その決済モジュールバグを突かれたのではないかと言う海外記事が当初多かったのですが、1月19日のOnePlus側の投稿を見ると、2014年まではMagentoを使っていたが現在は独自でサイト構築をしている様です。

では何が気になったかですが、、、

  • Is my credit card info stored on oneplus.net?
No. Your card info is never processed or saved on our website - it is sent directly to our PCI-DSS-compliant payment processing partner over an encrypted connection, and processed on their secure servers.​
OnePlusはPCI DSS準拠済みの決済代行会社(PSP)に情報を直接渡しており、自社サーバにカード情報を残して無かったという所です。現在日本でも”実行計画”の下に多くの加盟店がカード情報非保持、またはPCI DSS準拠に向けて対応を進めていますが、このOneplusの置かれていた状況は(実行計画=日本独自ルールにおける)カード情報非保持であったと推測されます。にもかかわらずカード情報を流出したという事は、日本においても、Webサイトの改ざん対策まで行っていなければ、カード情報非保持の加盟店であっても、近い将来似た様な事件を起こしてしまう可能性があるという事を意味するのです。
 
日本の多くの加盟店は『とりあえず非保持にしておけば十分』という動きをしていますが、不正スクリプトを仮に仕掛けられたとすると、その部分は決済代行会社(PSP)サービスの範疇外となるかと思われます。そうした意味においては、セキュリティ対策は自社の責任という原則に則って「業者に全てお任せ」ではない考え方を持つ事が必要かも知れません。

 

 スマートフォンのキャラクター(驚いた顔)

 

更新履歴

  • 2018年1月22日 PM(予約投稿)