Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

タオル専門店 伊織のカード情報漏えい事件について

地方新聞の小さな記事であり、カード情報も2145件程度ですが大きな影響がでてくるかも知れません。

www.ehime-np.co.jp

 

■公式発表

 【重要】クレジットカード情報流出についてのお知らせ(伊織ネットショップ)

 

タオル専門店の伊織(愛媛県松山市)は24日、伊織が運営する通販サイト「伊織ネットショップ」で外部からの不正アクセスがあり、最大で延べ2145人分の顧客クレジットカード情報が流出した可能性があると発表した。現時点で3人から身に覚えのないカードの使用履歴があるとの連絡があったとし、一部顧客のカード情報が不正利用された恐れがあるとしている。

愛媛新聞記事より引用)

 

◆キタきつねの所感

今や毎月のように発生しているカード情報漏えい事件、日本のカード情報漏えい事件の規模は海外のソレと比べるとそんなに大きく事件は多くありません。このカード情報漏えい事件も2145件(カード会員名、クレジットカード番号、有効期限、セキュリティコード)と、小規模です。しかし、公式発表を見てみると、その影響はEC加盟店に拡大していってしまう可能性がありそうです。

 

f:id:foxcafelate:20181027154315j:plain

 

1.経緯

2018年8月22日夕方、弊社サイトにおいてフィッシングサイト(偽のクレジットカード番号の入力画面)へジャンプする事象が確認され、同日「伊織ネットショップ」でのクレジットカード決済を停止いたしました。また、速やかに第三者機関による調査も開始いたしました。

調査結果により、2018年5月8日~8月22日の期間中に「伊織ネットショップ」で購入されたお客様のクレジットカード情報が流出し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
以上が証跡ある確かな情報として確認できたため、本日の発表に至りました。

 

2.個人情報流出状況

(1)原因
弊社が運営する「伊織ネットショップ」のシステムの一部の脆弱性をついたことによる第三者不正アクセス。インシデント発生時のアクセスログにて2018年8月19日午後に、三者による侵入と、一部のページを改ざんされた履歴を確認

(公式発表から引用)

 

クレジットカード業界に詳しくない方は、赤字?何のことだろうか???と疑問に思われるかも知れません。

背景を少し書くと日本は国策で2020年を目指してキャッシュレス化を推進しており、クレジットカード業界では経産省が主導して『クレジットカード情報非保持(またはPCI DSS準拠)』に向かって動いています。

この動きに従って、多くの加盟店は、JavaScript型の非保持ソリューション(トークン等)を加盟店が決済代行業者(PSP等)からサービス提供うける事で「カード情報非保持」を図り、漏洩するべきカード情報を自社に持たないので安全です”という事を目指しています。

 

この弱点を突かれた(公表されたと分かっている)2件目がこの事件かも知れません。

 

実はつい先日も・・似たような記事(1件目=SOKAオンラインストアの事件)を書きました。詳しくはこちらを見ていただいた方が分かりやすいかも知れませんが、

foxsecurity.hatenablog.com

今回の公式発表にははっきりと、Webページが改ざんされたと書かれています。

手口もよく似ています。偽サイトに最初に飛ばしておいて、正規ページそっくりなカード決済ページで購入者がクレジット情報を入れる(クレジットカード情報の窃取)、その後正規の決済ページに飛ばし、購入者が2回目のクレジット情報を入れると、正規のクレジット購入手続きが完結するという流れです。

 

伊織の公式発表には、分かりやすい遷移図が補足資料として掲載されていました。(※文字で書くより何倍も分かりやすかった・・)

 

f:id:foxcafelate:20181027155529j:plain

今回改ざんされたのは、スマホ決済ページのようです。

偽のカード入力画面(フィッシング)の見分け方について、例えばURLや証明書表記(例:緑のEV証明書)をユーザが確認する事は有効なのですが、スマホ画面だとこうしたURL部分は表示の関係上、PCのブラウザよりも見難いために、こうして裏で偽ページに遷移されてしまうと、騙されている事に気づかない人も多いかも知れません。

 

そうした意味においては、EC加盟店は、「カード情報非保持」ソリューションの実装だけで終わるのではなく多層的なセキュリティ対策、中でもWeb改ざん検知機能を取り入れる事をもっと検討すべきだと思います。この手口は、私は改ざん検知がないと防ぐのは厳しいと思います。

成功事例が少なくても2件出てきてしまった事になると思いますので、今後更に被害は拡大していってしまう懸念は非常に高いと思います。

 

因みに、改ざん検知機能を入れる予算が無い会社は、Web担当が自社のトップページや「決済ページ」が改ざんされてないか、毎日目視で確認する、これだけでも(完全に防げる訳ではありませんが・・・)効果はあると思います。

 

お風呂のイラスト「バスタオル」

 

更新履歴

  • 2018年10月27日PM(予約投稿)