サーカスのカード情報漏えい

子供服のECサイトもカード情報を漏えいしていた様です。

scan.netsecurity.ne.jp

2月25日に完了した調査機関による調査結果によると、同社オンラインショップのシステムの一部の脆弱性をついた第三者による不正アクセスによりカード入力フォームを改ざんされ、2018年10月1日から2019年1月18日の期間に「子供服サーカス」を利用した一部の顧客、および「子供服ミリバール」を利用した一部の顧客のカード情報が流出し不正利用された可能性を確認した。

流出の対象となるのは、2018年10月1日から2019年1月18日の期間に「子供服サーカス」、「子供服ミリバール」でクレジット決済を利用した顧客のカード情報（名義人名、番号、有効期限、セキュリティコード）2,200件。

（ScannetSecurity記事より引用）

◆キタきつねの所感

データ侵害を詳細手口について、フォレンジック調査会社は報告しているのだと思いますが、今回の公式発表でも『システムの一部の脆弱性をついたことによる第三者による不正アクセス』としか書かれていません。とは言え、再発防止策の部分を見ると、恐らく最近事件が多発している「決済ページからの情報不正転送」である事が伺えます。

5.再発防止策ならびにクレジットカード決済の再開について

弊社ではこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、今後二度と同様の事態を発生させることがないよう、再発防止策の構築並びにお客様情報保護体制の一層の強化に取り組んでまいります。

再発防止策としまして、2019年4月2日現在までに、以下の対策を行っております。

ウェブサイトの改竄を防ぐため、Webサーバー内の適正なアクセス権限の設定

不正アクセスを防ぐため、WAF（※）の導入

（公式発表より引用）

つまり、決済ページ（あるいは決済ページ前のページ）が改ざんされ、不正なコード（javascript)を、顧客がクレジットカード情報を入力するページに仕掛けられたのだと思います。一般的にはWeb改ざん検知のサービス／ソリューションを導入する事が多いのですが、今回は、『適切なアクセス権限の設定』をする、という改善策になっています。

ここを読み解くと、「Webサーバ内のアクセス権限」に問題があり、「Web改ざん」されてしまった、という事が推測できます。

例えば、Read権限のみ開放すべきところをRead/Write（実行）権限を意図せずに付与した状態になっていた、そんなミスが原因となってた事が考えられる訳ですが、権限設定を含め、人が設定する事にはミスが起こるのは致し方ない事です。そこを補うのが例えば2名（チェック）体制であり、ツールチェックなのだと思います。そうした心の隙を突かれると、カード情報まで漏えいしてしまう、そんな風に私はこの事件を捉えました。

繰り返し書いている気がしますが、「カード情報非保持」という国策ガイドラインだけ守っていれば安全という事はありません。Web管理の単純な部分まで含めて、定期的にセキュリティ状態を確認する、そうした事がECサイトには必要な時期に来ているのではないでしょうか。