Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

SOKAオンラインサイトのカード情報漏えい

聖教新聞のSOKAオンラインサイトからクレジットカード情報が漏洩していたとカード会社が発表していました。

www2.uccard.co.jp

 

f:id:foxcafelate:20180908075711j:plain

 

公式発表 

 

このたび、SOKAオンラインストアにてクレジットカード情報を入力して商品をご注文いただいた一部のお客さまのクレジットカード情報が、三者によって不正に取得された可能性があることが発覚いたしました。
事実確認および原因や影響の範囲につきましては、現在専門機関が調査中です。

調査結果を受けて、改めて詳細なご報告をいたします。
それまでは、本サイトページからの受注につきましては、停止とさせていただきます。

(SOKAオンラインより引用)

 

◆キタきつねの所感

第一報(調査中)という事でという事で、いつごろカード情報漏洩したのか、漏洩件数、漏洩した推定原因も公式発表には出ていません。フォレンジック調査会社の調査には1ヶ月以上かかる事が多いかと思いますので、(事件発生したばかりであれば)暫く次の報告が出てくるまで時間がかかるかも知れません。

 

Webサイトを見てみると、SOKAネットの個人情報の取り扱いについてのプライバシーポリシーページがありました(SOKAオンラインサイトも同じポリシー適用されるのだと思います)

f:id:foxcafelate:20180908080358j:plain今回のSOKAオンラインサイトで考えると、7項目「個人データを取扱うシステムのセキュリティレベルの高度化等」は実施されていたのだろうと思います。

しかしクレジットカードデータまで漏洩するのは、、、少し疑問です。ほとんどの通販サイトは改正割賦販売法を受けて、クレジットカード情報の非保持化を図っているはずであり、クレジット情報は自社で持たない設計に変更したはずだからです。

今回データ漏洩を発生させたサイト『SOKA オンラインサイトは、事件の影響を受けて閉鎖していますが、聖教新聞の公式サイトにおける会員組織SEIKYO onlineは稼動しています。そちらにも事件を受けての発表記事があったのですが、

f:id:foxcafelate:20180908143419j:plain

 

 委託先の専門会社からは、「今回の事態を厳粛に受け止め、全容の解明と再発防止に努めるとともに、お客さまの信用を回復するために全社を挙げて取り組む所存です」「聖教新聞社さまをはじめとして、関係の皆さまに多大なご迷惑とご心配をおかけすることになり、衷心より深くお詫び申し上げます」との謝罪がありました。

(SEIKYO online発表より引用)

と、事件を発生させたサイトを運営していたのは、委託先である事が伺えます。

 

(以下は推測が多分に含みます)

SEIKYO onlineには影響は無いとの記載があり、恐らくこちのサイトにはセキュリティ上の問題は無いのだと思いますが、SOKAオンラインサイトが同様な作り方をしている可能性があるかと思い、調べてみました。

 

まず、会員登録(説明)のページ見てみました。

 

f:id:foxcafelate:20180908142545j:plain

 

登録画面までは試していませんが、有料会員に対する『クレジットカード登録』機能がある事が伺えます。この部分がどの様な形で実装されているか分かりませんが、、決済代行会社ではなく、自組織(SEIKYO online)側でクレジットカードデータを保有している可能性がある気がしました。

サードパーティPCI DSS準拠)のサービスを活用してカード情報を保持している可能性もあります

 

また、ログイン画面を見てみると・・・

  • ID(メールアドレス)+パスワード となっています。

f:id:foxcafelate:20180908144217j:plain

 

IDがメールアドレスなので、(一般論として)パスワードリスト攻撃に対して脆弱であると言えそうです。

会員が他サイトとパスワードの使いまわしをしている場合、個人情報の不正閲覧を受ける=個人情報を漏えいする潜在リスクは高い状態と言えるかも知れません。

 

もう1点気になったのが、ログイン画面のURL(https://id.sokaweb.jp/idp/SSO.saml2)から推測したのですが、SOKA IDはSAML認証を使ったシングルサインオン(他関連サイトへのログイン)が出来る構成になっていたと思われる点です。

どこまで複数サイトに入れたのか分かりませんが、今回事件を受けたサイトにも、SOKA IDで入れたとしたら、事件の影響範囲は更に広がっていく可能性があるかも知れません。

 

以上は、推測が多分に含みます。「SOKA オンラインサイト」と「SEIKO online」のサイト運営が違うので、的外れな推測であるかも知れません。

結局は、事件の続報を待つしかないのですが、他ECサイトでも同じ様な攻撃を受けるかも知れないので、調べられる範囲で考えられる可能性を考えてみました。

 

新聞紙のイラスト

 

 

更新履歴

  • 2018年9月8日PM(予約投稿)