Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

森永乳業の情報漏えい事件を考えてみた。

 森永乳業が5/9に健康通販サイトからクレジットカード情報を漏えいした可能性があると発表しました。

tech.nikkeibp.co.jp

■公式発表

健康食品通販サイトにおけるお客さま情報の流出懸念に関するお知らせ | ニュースリリース | 森永乳業株式会社

事件の状況 
  • 2017年1月10日~2018年4月24日までに「健康食品通販サイト(https://kenko.morinagamilk.co.jp/)」でカード情報を入力して商品を注文した23,000名のカード情報が漏えいした可能性が高い
  • 流出の経緯や規模は現在も調査中で、最大で、同サイトをこれまでに利用した12万人(カード決済非利用者も含む)の情報が流出した可能性もある
  • 流出した可能性のある個人情報
    • カード番号
    • カード名義人
    • 有効期限
    • セキュリティコード

原因

 

◆キタきつねの所感

この事件については、日経XTECHさんが非常に深い視点で記事を書いています。

森永乳業の情報漏洩、正確な情報が少ない訳 | 日経 xTECH(クロステック)

同社は、クレジットカード会社から不正利用の被害が発生していると4月24日に指摘を受けて事態を把握していた。そこから既に2週間が経過しているのに、どうしてもっと正確な情報が出てこないのか。(日経XTECH記事より引用)

4月24日・・・表向きは影響範囲を調査中だからと言えるかと思いますが、ビジネス上の想像をするとGW前に事件リリースの第一報を出す影響を慮ったのかなと愚考します。

なお一部の報道にあった12万人は、通販サイトを過去に利用したことがある会員すべての数だ。「電話によるカード決済以外の方法で注文した人など、カード情報が漏洩した可能性のない人も含まれる」(広報)という。

(日経XTECH記事より引用)

コールセンター等からの購入受付が、主なカード決済以外は、

f:id:foxcafelate:20180512062400j:plain

森永乳業の”特定商取引法に基づく記載ページ”には書いてあるので、違う見方をすると、、コールセンターで使っているであろう顧客データベースは、事件の対象外と既に特定できていると推測されます。

 

日経XTECHの追加取材がすごいなと思ったのが、森永乳業の公式発表や他のニュースサイトでは書かれてない、森永乳業『決済代行サービスを利用』(決済代行会社名は不明)しており、ECサイトエスキュービズム開発受託しており、EC-CUBEを利用して森永乳業の通販サイトが構築されていた事を特定されている事です。

森永乳業の通販サイトを構築したエスキュービズムは、「どこから漏洩したかわからない森永乳業からの正式な発表を待っている」という。ただし、「カード決済機能の構築に関わっていない。決済代行サービスを利用しておりサービスとはトークンをやり取りするようになっている」と状況を説明する。

 

 EC-CUBE森永乳業の通販サイトで利用している

(日経XTECH記事より引用)

 

s-cubism.jp

日経XTECH記事から見ると、かなり問題がある事件かも知れません。

トークンをやりとり・・・」の部分から考えると、森永乳業は決済代行会社のJavaScriptトークンサービスを利用して、経産省や日本クレジットカード協会等々が推す実行計画2018に基づいた『カード情報非保持』のシステムを構築したのだと思われます。

フォレンジックの事件調査結果の発表前に推測を書くのはあまり良い事ではないかも知れませんが、(以下は推測が多分に入ります)場合によっては、『カード情報非保持』が破られた最初の事件となってしまうかも知れません。(改正割賦販売法の企業対応にも影響を与えてしまうのでは・・・)

 

現在までの情報でどういった可能性があるのかと想像すると、

  1. サービスプロバイダーのトークンロジックが解読された上で通信を傍受された
  2. サービスプロバイダーに脆弱性があり情報漏えいした
  3. 森永乳業の決済ページに不正なコードが仕掛けられた
  4. EC-CUBE脆弱性を突かれて森永乳業のサーバに不正侵入された
  5. エスキュービズムのサイト構築にEC-CUBE以外の実装の問題があって情報漏えいした

という様な感じなのですが、1は・・おそらく無いと思います。2は無いとは言い切れませんが決済代行会社もPCI DSS認定を取っているでしょうし、そうした脆弱性があるならば他社システムにも影響すると思うので森永乳業しか事件発表してない事から除外されそうです。3は可能性としてまだ残っている気がしますが、1年以上不正なコードを仕掛けられていて森永乳業側が気づいてなかった事になりますので、あまり現実的では無いかも知れません。となると・・・4か5辺りでしょうか。

 

何となくですが(根拠ありません)、12月に記事を書いた城山観光ホテルと同じで、EC CUBEの脆弱性が影響した気がします。

※下記記事の後半部分がEC CUBEの問題点となっています。(プラグイン脆弱性の可能性)

foxsecurity.hatenablog.com

 

事件調査をしていて気づいたのですが、、、森永乳業が使っていた決済代行会社は、GMO-PGである可能性が高いかも知れません。

f:id:foxcafelate:20180512072245j:plain

Google森永乳業を検索している時に、GMOページがひっかかりました。

このリンク先を辿ると・・・

f:id:foxcafelate:20180512072250j:plain

ページが見つかりませんで、エラーとなります。

Googleにはサイト情報が残っているので、キャッシュを調べてみると、5月4日時点では紹介ページがあった事が分かります。(※森永乳業の事件発表は5月9日)

f:id:foxcafelate:20180512072253j:plain

 

キャッシュページを見てみると、

f:id:foxcafelate:20180512071911j:plain

 

2010年に始まった同社の健康食品の通信販売では、現在GMOクラウド 専用サーバーを活用されています。

 

当社はまだまだEコマースに関して、特に技術面では知識も経験も不足しています。その点を強力にサポートしてくれるGMOクラウドさんには感謝しています。

GMOクラウドの事例紹介キャッシュより引用)

 

森永乳業GMOクラウドの専用サーバを利用しているのは間違いなさそうです。だとすると、グループのGMO-PGの決済代行サービスを使っていた可能性が一番高いのではないでしょうか。

GMOクラウドとしては、グループ企業のGMO-PGが去年大きなカード情報漏えい事件(Struts2)、1月にはGMOペパボ不正アクセスを受けているので、GMOグループに対する印象や影響を考えたのかも知れませんが、森永乳業のページを事件発表直前で消すのもどうかなとは思います。

 

foxsecurity.hatenablog.com

 

小さいパックに入った牛乳のイラスト

 

更新履歴

  • 2018年5月12日AM(予約投稿)