Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

パレスタオンラインショップの不正アクセス事件をまとめてみた。

2月1日フローズンフルーツバー等を販売する「パレスタオンラインショップ」が不正アクセスを受け、クレジットカード情報を漏えいしたリリースが出ていました。この件についてまとめてみます。

f:id:foxcafelate:20180204182033j:plain

インシデントタイムライン

日時 出来事
2017年7月18日 クレジットカード決済代行会社よりカード情報流出の指摘を受ける
公式通販サイトのクレジットカード決済の利用停止
  PCF社に調査依頼
2017年9月19日 PCF社から最終調査報告書を受領し、不正アクセスによりクレジットカード情報等が流出したことが判明
2017年12月25日~
2017年12月27日
関係官庁(個人情報保護委員会等)へ報告
警察への報告および相談
2018年2月1日 事件を発表
情報流出が懸念されるお客に書面にて連絡

 

■公式発表

 不正アクセスによるクレジットカード情報流出に関するお詫びとご報告

事件の状況 
  • 2017年4月27日~2017年7月18日までに「パレタス オンラインショップ」でクレジット決済を利用した最大821件の個人情報が不正アクセスにより外部に漏えいした疑い
  • 流出した可能性のある個人情報
    • カード会員氏名
    • カード番号
    • カード有効期限
    • セキュリティコード

原因

  • Webサーバに外部からの不正アクセスがあり、不正プログラムが仕組まれたため

再発防止策

  • リンク型システムへの移行、WEB改ざん検知サービスの導入
  • 新システムを構築(2018年4月末完成予定)

 

◆キタきつねの所感

不正アクセス事件を毎月定期的に書いている気がしますが、「またセキュリティコードが漏えい」と何度も書かなければならないのが、非常に残念です。また9月19日にカード情報漏えいが確定して、2月1日まで発表が遅れたのは何故なのでしょうか?

 

事件リリースからの私的な推測に過ぎませんが、、

弊社では、通販サイトにおいて、より信頼性の高い、カード決済代行会社の提供するリンク型システムへの移行を決定しております。また、WEB改ざん検知サービスを導入いたしました。(リリース記事より引用)

リンク型システムへの移行」「WEB改ざん検知サービス導入の再発防止策と、「より信頼性の高い」とわざわざ記載された事を考えると、パレスタオンラインショップが既に決済代行会社のJavaスクリプト型の非保持ソリューションを導入していた可能性が考えられます。だとすると、、、実行計画で言う非保持実現の「Javaスクリプト型」「リンク型」の内、多くのセキュリティ専門家が、潜在的脆弱性を懸念するJavaスクリプト型」が不正被害を受けたケースとなり、もし今後もそうした攻撃によるカード情報漏えい事件が多発すると、実行計画(ガイドライン)自体が修正されていくかも知れません。

 

徳丸さんが書かれている、この記事(2ページ目)にあった・・

itpro.nikkeibp.co.jp

徳丸 そうですね。データは決済代行業者側で持っているので、それ自体はいいんです。

(中略)

じゃあ、保存していないものがどうして漏れるのか。保存していなくても漏洩は起こっているんです。それは入力画面が改ざんされて、ユーザーがカード情報を入れると、攻撃者のJavaScriptが動いて、それを攻撃者のサイトに転送するという方式があるんですね。つまり、トークン決済をしているJavaScriptとまったく同じようなJavaScriptを攻撃者が入れる。この両者を同居させてしまえば、ユーザーが入力したカード情報は片や攻撃者のサイトに転送され、漏れる、片やトークン決済の通常のルートで処理される。それは矛盾なく同居できるはずですので、漏れているけど気づかないという状況がしばらくあって、なにかの拍子に「おたくのサイトからカード情報が漏れてます」という警告で発覚するということが起こってしまうんじゃないかと私は懸念をしています。

この懸念がまさに、今回の事件で狙われた可能性があると考えるのは考えすぎでしょうか?(自サイトにカード情報保持→事件を受けて決済代行会社のリンク型に移行・・・という普通の流れであれば良いのですが・・・)

もし考えすぎでないのだとすると、業界への影響が大きいので(カード会社らとの協議に時間がかかり)発表が遅れたという仮説も成り立つかも知れません。また、今後JavaScript型の非保持ソリューションを導入する場合は、「WEB改ざん検知サービス」の導入は必須となる(実行計画にて定義される)可能性が高くなったと言えるかも知れません。予想が外れている事を祈ります。

 

更新履歴

  • 2018年2月4日 PM(予約投稿)