Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

熊本ワインショップのカード情報漏えい

またカード情報漏えい事件が報じられていました。

www2.uccard.co.jp

 

■公式発表 「熊本ワインショッピングサイト」における情報流出に関するご報告とお詫び

 

2019 年 1 月 22 日、本サービスにおいてアプリケーションの機能を悪用した不正アクセスにより、本サービスの決済情報入力画面が書き換えられ、クレジット決済情報入力にて購入者様が入力したカード情報を窃取されていることが判明いたしました。

(中略)

(1) 流出したおそれのあるクレジットカード情報: 最大 444 件
カード番号・カードの有効期限・セキュリティコード・カード会員の住所・カード会員の氏名

(2)流出したおそれのある本サービスでの購入期間
   2018 年 12 月 5 日~2019 年 1 月 30 日

(3)流出したおそれのあるクレジットカード情報以外の情報と件数: 最大 7542 件
   住所・氏名・電話番号・メールアドレス・購入履歴・発送先情報・会員 ID・パスワード

(公式発表より引用)

 

 

◆キタきつねの所感

またカード情報漏えい事件が出てきました。何となく毎週慌ててブログ記事を書いている気がしますが、現在調査中のカード情報漏えい事件も含め、やはり現在進行形で、相当数のECサイトが攻撃を受けているのかと推測します。

熊本ワインのサイトを調べてみたのですが、最近よく被害を受けていたEC-CUBEを使用している痕跡は確認できませんでした。

 

しかし、管理者アクセス画面の部分は・・・改善の余地がありそうでした。

f:id:foxcafelate:20190618103605p:plain

 

この辺りは、ECサイト自身も気を付けるべき部分ですが、ECサイトを制作する外注会社は、更に気を付けるべきであると言えるかも知れません。とは言え、熊本ワインは、HP制作を地元の会社に依頼した様ですので・・・実績を見る限りは、セキュリティ知見をあまりお持ちでは無い、デザイン側に特化した会社なのかなと推察します。

mont.jp

 

地元密着でビジネスを拡大していく上では良い事ではあるのでしょうが、セキュリティの観点(攻撃側の視点)では、攻撃を受けるかも知れないという想定の元で、ECサイトを運営(制作)する必要があるかと思います。もしECサイト運営側、あるいはHP制作会社でそうした知見が無いのであれば、例えば第三者Web脆弱性診断などを受ける方が良いのではないかと思います。

 

因みに、海外(日本以外)では、カード情報非保持なる独自ルールは無いので、ECサイトPCI DSS準拠が一般的です。その準拠維持のためには、四半期毎のASVスキャン(脆弱性診断)を受ける事が求められています。

 

カード情報非保持にしたから安全・・・というのは、正しい部分と、間違った部分があります

カード情報非保持の部分(決済代行会社やサービスプロバイダーが提供する非保持サービス)を起因とする国内でのインシデント事例は(まだ)ありません(知りません)が、そこへの繋ぐページはECサイト側の保護対象範囲であり、非保持サービスを提供する会社は守ってくれません。

 

セキュリティ実装にミスがある所が、数多くカード情報漏えいインシデントを発生させている・・・その理解がECサイト側(業界内)で不足しているのであれば、割販法のガイドライン(実行計画)が変わってしまう、言い方を変えれば、もっと強制的にセキュリティ対策が求められる記述になってしまう事が、現実になるかも知れません。

 

(6/19追記)不正利用が70件、1000万円超えているとの事、イオン系の不正が2200万円だった事を考えると結構被害が大きいなという印象です。想像でしかありませんが、ワインを購入される方のクレジットカード限度額が高めだったのかな?と思います。

headlines.yahoo.co.jp


 

 

f:id:foxcafelate:20190618103354p:plain

更新履歴

  • 2019年6月18AM(予約投稿)
  • 2019年6月19日PM 追加記事をうけて加筆