Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

レスターシティのカード情報漏洩

レスターシティと言えば英プレミアムリーグの強豪チームの1つで、岡崎選手が在籍している(もうすぐ退団しそうですが)チームですが、ここのWebサイトも侵害を受けた様です。

www.leicestermercury.co.uk

 

Leicester Cityによると、オンラインストアのユーザーはセキュリティ違反のために個人情報と財務情報が侵害されています。同クラブは、この違反は4月23日から5月4日の間に一部のユーザーに影響を及ぼしたと述べている。

本日発表された声明の中で、彼らは詳細が危うくされた支持者はすぐに連絡されそして何をすべきかを言われたと言います。

声明は続けます:「違反が発見されると、当社の小売プラットフォームのセキュリティは直ちに回復し、他のすべてのオンライン資産のセキュリティを確保するために適切な措置が取られました

GDPRの責務に沿って、クラブは、影響を受ける可能性のあるユーザー、警察、ICO(Information Commissioners Office)を含むすべての必要な当事者に通知し、違反の原因について直ちに調査を開始しました。

「調査は現在進行中です。
「クラブは、この違反の影響を受ける可能性のあるすべてのユーザーと直接接触しています。」

(Leicestermercury記事より引用)※機械翻訳

 

◆キタきつねの所感

密かに親近感を覚えていた、レスターシティ。実はチームマークが「きつね」だったりします。

f:id:foxcafelate:20190615105534p:plain

こちらのWebサイト(グッツ通販サイト)が侵害を受けて、どうやらクレジットカード情報が漏洩した様です。レスターシティ側の発表には細かい情報が調査中という事で出てないのですが、関連ソースを追いかけてみると、

Leicester City FC fans’ financial details stolen in cyber attack - IT Governance Blog

 

この違反は2019年4月23日から5月4日の間に発生し、shop.lcfc.comを通じて購入した人に影響を与える可能性があります。

カード会員名、カード番号、有効期限、CVV番号はすべて侵害されました。

(Itgovernance blog記事より引用)※機械翻訳

 

カード情報、それもセキュリティコード(CVV)まで漏洩してしまった事が伺えます。調査中という事であまり情報は無いのですが、海外専門家の推測を見ていると、レスターシティが決済後にセキュリティコードを残していたのではないか(PCI DSS違反)といった意見も出ていました。

 

私は日本のECサイトが最近多く侵害を受けているのと同じで、決済ページ周りが侵害を受けて意図せずカード情報がJavaScript等でハッカー側に飛ばされたのかな思います。

 

1つ気になるのが、既にカード情報が不正購買(悪用)されているとのファンの声もあるようで、だとすると、侵害を受けてすぐにレスターシティ側が「対策済」としてカード決済を復活させている部分が、腑に落ちません。

 

一般的には

 

カード情報漏洩事件発覚

フォレンジック調査(1カ月以上かかる事が多い)

>セキュリティ対策

PCI DSS監査 

 

という形で侵害を受けてから、カード決済を復活させるまでには、カードブランドあるいはアクワイヤラー(カード会社)から強制的な指示を受けるはずなのですが、侵害を受けたのが5月上旬で、既にグッツ販売のECサイトは復活している様なのは、どうしてなのかな、、、と疑問に思う所です。

 

とは言え、これ以上は情報が出てないので、続報を待つしかないようです。

 

因みに、まだ英国はEC加盟でもあるという事も影響しますが、この事件がGDPR違反を問われる可能性がある、場合によっては高額な罰金を課される可能性がある(=クラブの資金計画に影響が出る)、、、そうしたレスターシティファンの不安な声も出ていました。

 

 

f:id:foxcafelate:20190615105708p:plain

更新履歴

  • 2019年6月15日AM(予約投稿)