Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

リスクアセスは目をつぶってはいけない

年始の記事を書くために調べていて気づきました。またクレジットカード情報が漏洩していた様です。

f:id:foxcafelate:20190101074133j:plain

 

■公式発表 クレジットカード情報流出についてのお知らせ | サンワ食研 温効生姜オンラインショップ

 

1.流出の可能性のある期間
2016 年 11 月 14 日から 2018 年 10 月 3 日
上記期間内に、弊社ショッピングサイトにおいて会員でいらっしゃった方及びクレジットカード決済をご利用された方が対象でございます。
※上記期間は、弊社及びサーバ管理会社において保有していたログを調査会社において調査した結果及びカード会社からの不正利用の報告に基づくものとなります。
※なお、上記対象のお客様には、弊社より、別途通知(メール又は文書)を差し上げております。

2.流出の可能性のあるデータ
上記期間において、流出の可能性のある個人情報データは最大で 8,928 件です。
また、クレジットカード情報に関するデータは最大で 1,142 件です。

3.原因
弊社及びサーバ管理会社において保有していたログを基に調査会社において調査を行ったところ、外部からの攻撃により、2016 年 11 月 14 日から 2018 年 10 月 3 日にご登録いただいた会員情報及びクレジットカード決済データ等が抜き取られた可能性があることが判明いたしました。

(公式発表より引用)

 

◆キタきつねの所感

個人情報が約9,000件、クレジットカード情報が1,100件+というのは、大した件数ではないかも知れません。とは言え、ECサイトは数が多く、似た様な攻撃を受ける可能性が高い事もあり、少し気になりました。決済代行会社からの連絡を受けている・・・という事から考えると、このECサイトもカード情報非保持を実現していたのだと思うのですが、、、気になる部分があります。

 

それは、漏洩件数ではなく、漏洩時期です。2016年11月からのクレジットカード情報を漏えいしているというのは、最近のECサイトからの漏洩事件とは異なります。推測になりますが、このECサイトクレジットカード情報を保持していたのではないでしょうか。

非保持なのに保持?という矛盾。結構多くの事業者(ECサイト)が勘違いしているかも知れませんが、この矛盾的表現は実際にありえるのです。

 

非保持は、決済代行会社のJavaScript型(リンク型)の非保持ソリューションを買う。これで一時的には「実行計画=割販法」を満たす事ができます。ただし、ここには前提条件があります。自社にカード情報が残ってない事をきちんと調査してないと、今回の様な事件は発生してしまう可能性があります。

 

自社DBに履歴としてクレジットカード情報を残してしまうケースは極稀だと思います。しかし、例えばセキュリティログはどうでしょうか?何らかの理由で「何でもログ」に記録してしまっていた場合、その中に決済で使われたクレジットカード情報が残っていたとすると、、、自社では長期間気づけない可能性もあります。これは実行計画策定の当初から注意点として言われてきた点なのですが、理解してないECサイト・・・実はまだまだ多いかもしれません。

 

公式発表では、

外部からの攻撃により、2016 年 11 月 14 日から 2018 年 10 月 3 日にご登録いただいた会員情報及びクレジットカード決済データ等が抜き取られた可能性がある・・・

 

便利な言葉、外部からの攻撃という曖昧な表現しかされておらず、実際にどこに脆弱点があったのか分かりません。もしかすると、他のECサイトと同じくページ改ざんされていた事に長期間気づかなかった・・という可能性もあるかも知れませんが、2018年3月頃に非保持ソリューションを導入時にWebページを更新したはずですし、決済代行会社の不正利用の連絡が10月だった様ですので、長期間に渡って偽ページあるいは、不正なJavaScriptコードを仕掛けられていた可能性は低い気がします。

 

と考えると、ログに意図しないクレジットカード情報を残していたか、あるいはECサイト構築パッケージの脆弱性を突かれて、不正にクレジットカード情報を残させる設定に変えられた(転送する設定になっていた)というリスクなのかなと思います。

 

こうした脆弱性リスクアセスメントをきちんと行っている事業者であれば、適切な調査をしている(パッチ当て、あるいはログの再チェック等)事が多いかと思います。セキュリティソリューションを導入したからと、安易に大丈夫と考えてしまう、それはリスクアセスメントで目をつぶって何でもOK(許容)としてしまう、そんな隙を見せてしまっている事と考えた方が良いかと思います。

 

çå§ã®ãããããã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年1月1日AM(予約投稿)