洋菓子のグラマシーニューヨークのサイトからのカード情報漏えい事件が報じられていました。
www.security-next.com
■公式発表 弊社が運営する「グラマシーニューヨークオンラインショップ」への不正アクセスによる個人情報流出に関するお詫びとお知らせ
(1)原因
弊社が運営する「グラマシーニューヨークオンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセス
(2)個人情報流出の可能性があるお客様
2018年10月31日~2019年6月14日の期間中に「グラマシーニューヨークオンラインショップ」においてクレジットカード決済をされたお客様3312名で、流出した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
(公式発表より引用)
◆キタきつねの所感
サイトは閉鎖中(お詫びとお知らせとFAQ等が稼働)でしたが、魚拓サイトからEC-CUBEの証跡が確認できました。(EC-CUBEのJavaScript証跡は確認できませんでしたが、他の証跡からEC-CUBE利用は間違いないかと思います。)
Kiyaku.phpであったり、
entryの部分、住所部分にEC-CUBE(v2)の癖が出ています。
6月14日に侵害懸念を受けて、フォレンジック調査会社の最終報告書受領が7月26日、そして発表が12月ですので、発表まで約4.5カ月かかっています。最終発表がこれだけ遅れるのは、まだまだ”発表順番待ち”をしているカード漏えい事件が多いからなのか、本当に関係各所の調整にそれだけ時間がかかっているのか分かりませんが、まだまだEC-CUBE系の(過去の)侵害事件発表は続いてしまう気がします。
収束はいつになるのでしょうか・・・
2019年上半期(1月~6月)は19件のカード情報漏えい事件の発表を確認していますが、下半期(7月~12月)はまだ終わってませんが、(少なくても)33件のカード情報漏えい事件の発表が出ています。
52件(前期19件+後期33件)の漏えい発表件数を、月単位でまとめると・・・EC-CUBEユーザがいかに狙われ続けているか(※違う言い方をすれば脆弱であるか)が分かります。52件中40件がEC-CUBEユーザと推定されています(約76%)
※参考
foxestar.hatenablog.com
foxestar.hatenablog.com
本日もご来訪ありがとうございました。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
