海外行っている間に2件のカード情報漏洩事件が出ていた様です。遅ればせながら調べてみます。
www2.uccard.co.jp
公式発表 「omochabakoWEBSTORE」への不正アクセス発生についてのご報告とお詫び
1.漏洩の可能性のある期間ならびにお客様について
2016年2月3日~2019年3月11日
・流出した証跡を確認した期間:2019年1月31日~2019年3月8日(該当のカード件数は延べ210件)
・流出した証跡は確認できないが懸念される期間:2016年2月3日~2019年3月11日(対象期間内の決済カード件数は延べ40,233件)
※該当のお客様へは別途メールにて個別にご案内いたします。
※お電話、FAXのみでご注文いただいているお客様には、別途書面にて個別にご案内いたします。
2、漏洩の可能性のあるデータ
流出した可能性のあるクレジットカード情報は以下の通りでございます。
①カード会員名
②クレジットカード番号
③セキュリティコード
④有効期限
3、原因
弊社ではカード番号を変換したクレジットカード決済サービスを利用し、運営カード番号の伝送・処理・保管はしない仕組みで運営しております。しかしながら、攻撃者によるWebアプリケーションの脆弱性を利用したクレジット決済アプリケーションの改ざんが行われ、ご登録いただいたクレジットカード情報等が抜き取られた可能性があることが判明いたしました。
(公式発表より引用)
◆キタきつねの所感
EC-CUBEを利用しているかどうかは、会員登録画面など、特徴的な判断ポイントがありますが、omochabako-webstoreには、典型的なEC-CUBE利用の特徴がありました。またEC-CUBEユーザからのカード情報漏洩事件の様です。
ECサイトでのカード決済停止が3月11日だった様ですが、
4、対策
カード会社から決済代行会社を通じて、弊社オンラインショップで情報漏えいの懸念がある旨連絡を受け、2019年3月11日に被害拡大防止のため直ちにオンラインショップでのカード決済のご利用を停止いたしました。
クレジットカード会社には、該当するクレジットカード情報を報告し、それ以降の不正利用の防止モニタリングのお願いをしております。また今回の調査結果を踏まえ実施可能な施策を行うとともに、更なるセキュリティの強化を進めてまいります。
(公式発表より引用)
魚拓サイトで調べてみると、システム障害として告知していた様です。
おもちゃ箱ECは、EC-CUBEユーザの実績サイトでは見かけなかった(まだ?)ので、この事から考えると、まだまだEC-CUBEユーザは既知の脆弱点を攻められて事件発表が続いてしまうのではないかと思います。
更に公式発表で気になったのが、
・流出した証跡は確認できないが懸念される期間:2016年2月3日~2019年3月11日(対象期間内の決済カード件数は延べ40,233件)
フォレンジック調査で特定できない期間が出ている事です。2016年と言うと同サイトがサイトリニューアルを行った年なので、リニューアルしてからカード情報が抜かれ始めている可能性を示唆していると思われます。
※魚拓サイト参考
この事から、omochabakoWEBSTOREは、該当期間のログを全く残してなかったので、判断できる材料がフォレンジック調査で見つからなかったのだと思います。
ログを残してなかった故に被害範囲が拡大してしまう、これも他ECサイトにとっても教訓となるかも知れません。
210件のカード情報漏洩ではなく、4万件を超えるカード情報漏洩の疑いに規模が拡大してしまっており、カードの再発行を含む顧客対応が必須となるかと思います。例えば1件のカード再発行に1000円の費用がかかったと想定すると、、、4万枚のカード再発行に要する試算コストは4000万円、210件だった場合の21万円と比較すると、たかがログ・・・と言えないのではないでしょうか。
※8/27追記 EC-CUBE使用ver調査結果:v不明(魚拓2019/3/26調査)
https://www.omochabako-webstore.jp/js/css.js
EC-CUBE利用は確認されましたが、差分情報を持ってない為、Verは不明
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
- 2019年8月11日PM(予約投稿)
- 2019年8月27日PM EC-CUBEバージョン調査結果を追記
