今年に入って2件目のカード情報漏えいが発表されていました。
www.security-next.com
■公式発表 弊社が運営する「ジュノエスクベーグル」への不正アクセスによる個人情報流出に関するお詫びとお知らせ
2.個人情報流出状況
(1)原因
弊社が運営する「ジュノエスクベーグル」のシステムの一部の脆弱性をついたことによる第三者の不正アクセス
(2)個人情報流出の可能性があるお客様
2018年10月31日~2019年6月17日の期間中に「ジュノエスクベーグル」においてクレジットカード決済をされたお客様520名で、流出した可能性のある情報は以下のとおりです。
①氏名
②クレジットカード番号
③クレジットカード有効期限
④クレジットカードセキュリティコード
(公式発表より引用)
◆キタきつねの所感
年末に相次いで経産省、IPA、イーシーキューブ社から注意喚起が出ましたが、2020年もEC-CUBEユーザからの漏えい事件は続きそうです。
※キタきつね注 通常インシデントが発生してから発表されるまでに半年以上かかる事が多いので、12月の注意喚起を受けてEC-CUBEユーザが自社サイトのセキュリティを強化したとしても、GW辺り以降でないと、注意喚起が役立ったかは分からないかと思います。
ジュノエスクベーグルのサイトは現在閉鎖されていますが、去年の魚拓を調査してみると、
EC-CUBEの痕跡がありました。また2系です。
公式発表を見ていて、気になったのが、ちょうどサイトリニューアル切り替えのタイミングであった(カード漏えい検知が6/17で、新サイトオープンは7/1予定だった)事から、新サイトが別スキームであれば、もう少し被害が少ない状態で検知ができた可能性を感じたのですが、、
漏えい期間を見ると、
2018年10月31日~2019年6月17日の期間中に
去年の10月には侵入されている可能性がありますので、ある程度のデータを窃取できたので、不正利用で使われた(カード会社に検知された)時期がたまたまサイトリニューアルの時期だったと考える方が妥当かもしれません。
EC-CUBE関連では、去年末に経産省(IPA)が異例の注意喚起を出しましたが、それだけまだ事件が続いている事の表れでもあります。(この件は別途記事をまとめようと思います)EC-CUBEユーザは再度、自社サイトに問題が無いかチェックすべきかと思います。
www.meti.go.jp
本日もご来訪ありがとうございました。
Thank you for your visit.
更新履歴
