英国の格安コンタクト販売のVision Directがクレジットカードデータを含む顧客情報を漏えいした事を発表しました。
www.itgovernance.co.uk
■公式発表 Customer data theft(Vision Direct)
What data has been affected?
The personal and financial details of customers logging in or updating their accounts between 12.11am GMT 3rd November 2018 and 12.52pm GMT 8th November 2018 was compromised. Only customers who logged in between these dates are at risk.
The personal information was compromised when it was being entered into the site and includes full name, billing address, email address, password, telephone number and payment card information, including card number, expiry date and CVV.
(公式発表より引用)
◆キタきつねの所感
11月3日~11月8日にかけてログインまたはデータ更新をしたユーザが、サイト(Vision Direct)に入力した情報が漏洩した。漏洩した情報には、氏名、請求先住所、メールアドレス、パスワード、電話番号と決済カード情報(カード番号、有効期限、セキュリティコード)が含まれる。
漏洩した件数は明示がありません。
この公式発表の内容を見ると、決済後には保存してはいけないセキュリティコードが含まれていますし、何よりも『サイトに入力した情報』という内容があるので、ブリテッシュ・エアウェイ(BA)が受けた攻撃、そして日本だとSOKAオンラインや伊織の事件と同じ様な攻撃手法だと推測されます。
すなわち、サイトの決済ページが改ざんされ、不正なJavaScriptを埋め込まれたものだと思います。
この事件は、多くの海外セキュリティ研究者がTwitter上で調査を進めていました。
Troy Hunt氏や、Mikko Hypponen氏らがTwitterコメント上でコメントを出しているのですが、『Javascript keylogger』であろうと推測し、その推測を元に別な研究者が、Googleアナリティクスの偽装JavaScriptが仕掛けられていた事を発見しました。
この攻撃については、過去記事でも書いていますが、日本のECサイトにも確実に影響が出てくると思います。理由としてはGoogleアナリティクスは数多くのサイトに導入されている事が挙げられます。その中で、サイト改ざんが行われる脆弱性を残している(たとえば古いバージョン使用している場合やアップデートが不十分な場合)、あるいは改ざんを気づけない企業体は、いつ狙われてもおかしくありません。
日本のEC事業者(サイト)の多くは、割賦販売法に基づくガイドラインである実行計画に従ってクレジットカード情報非保持を実現するソリューションを導入しています。ソリューション導入で改正法対応は終わったと考えているEC事業者は、サイトページ改ざんの脆弱性について注意が薄くなっている可能性が高いかも知れません。その場合、その油断をこの攻撃は突いてくる、そんな危ない予感しかしません。
サイト管理者は、今一度、自社のサイトに脆弱性が無いかチェックをし、不正なJava Script(コード)が仕掛けられてないか定期的に確認する事が急務かも知れません。
foxsecurity.hatenablog.com
foxsecurity.hatenablog.com
更新履歴
