システムメンテナンスはカード情報漏洩かも知れない。この仮説がある程度正しい事を、Security Nextさんの叶匠寿庵からの情報漏洩記事で説明できそうです。
www.security-next.com
■公式発表 叶匠寿庵オンラインショップへの不正アクセスによるクレジットカード情報不正取得被害のお詫びとご報告
2.クレジットカード情報流出の原因
弊社が運営する「叶匠寿庵オンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセス。
3. 個人情報流出の可能性があるお客様
2018年9月17日~2019年3月13日の期間「叶匠寿庵オンラインショップ」においてクレジットカード決済をご利用されたお客様1,767名で、流出した可能性のある情報は以下のとおりです。
【流出した可能性のある情報】
・カード会員名
・クレジットカード番号
・有効期限
・セキュリティコード
(公式発表より引用)
◆キタきつねの所感
滋賀県大津市の和菓子製造の老舗「叶匠寿庵(かのうしょうじゅあん)」がカード情報を漏洩している可能性があるのは、フォックスエスタでも記事を書いておりますが、かなり可能性が高いと予想していました。
foxestar.hatenablog.com
まだ叶匠寿庵のリリースが残ってますので、引用しますと3月16日の段階で「オンラインショップ販売休止」のお知らせを出しています。メンテナンスに数カ月かかる・・というのは普通のITシステムではありえませんので、この間にフォレンジック調査をしていたと想像できます。
また、叶匠寿庵はEC-CUBEを利用している事が判明していましたので、他のEC-CUBEユーザと同様に不正アクセスを受けた可能性がある事は容易に推測できました。
因みにEC-CUBEの特徴がよくわかるのが、下記の様な新規会員登録画面です。(※URLにもデフォルトの癖があるので、この2点で、大きくカスタマイズしていなければ大体EC-CUBEである事の判別ができます)
今回の発表で気になったのは、フォレンジック調査会社が2か月程で最終報告を5/15にしていたのですが、結局対外発表は事件発生から4カ月以上(7/22)かかっています。関係者等との調整に時間がかかるのは当然としても、最終報告受領から2か月かかるのは、結構かかるなと言う印象です。大きなECサイトでカード情報漏洩事件が発生すると、経営インパクトが更に大きいと考えるべきかも知れません。
事件を受けた原因について、叶匠寿庵は実際の画面構成を開示してくれています。おそらくフォレンジック調査会社はこうした情報をECサイトに報告しているものと思いますが、伊織など一部を除いて、あまり侵害を受けた手口について開示されません。
フォームジャッキングの例として、どんな部分を警戒すれば良いのか、ECサイトには良い情報となると思います。
この情報を元に改めて考えると、購入ユーザが、URLを確認したり、セキュリティコードを入力するところがおかしいと気づくかと言えば、何度も購入しているユーザやセキュリティに詳しい方はともかく、一般の人がこの差分を気づくのは難しいかと思います。(※啓蒙がもっと必要だと思います)
だとすると、ECサイト側がもっと対策をしなければいけないかと思います。EC-CUBEの緊急告知の対策を講じる事もあるでしょうし、決済情報の入力ページが狙われている訳ですから、Web改ざん検知を検討するのも有効かと思います。更に言えば、3Dセキュア導入も(違う偽画面対策も必要なことがありますが)、リスクベース認証が提供されて、こうした攻撃に耐性があるかも知れません。
とは言え、EC-CUBE利用サイトから継続的に漏洩事件が発生しているのは、やはりその攻撃を受ける要因がECサイト側にあるのだと思います。推測になりますが、EC-CUBEのサイトが改ざんを受けるのは管理者アクセスに問題をかかえるサイトが多いからではないでしょうか。
foxsecurity.hatenablog.com
※8/27追記 EC-CUBE使用ver調査結果:v不明 (魚拓:2019/1/19調査)
https://www.kanou.com/products/js/site.js
EC-CUBE利用は確認されましたが、差分情報を持ってない為、Verは不明
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
- 2019年7月27日PM(予約投稿)
- 2019年8月27日PM EC-CUBEバージョン調査結果を追記
