2019-08-05

クロネコメンバーズの不正アクセス

ヤマト運輸の会員サービス「クロネコメンバーズ」へのパスワードリスト攻撃によると思われる不正アクセスが報じられていました。

www.nikkei.com

経緯
2019年7月23日（火）、特定のIPアドレスからの不正なログインを確認し、緊急の措置として、該当のIPアドレスからのログインを遮断するなどの対策を講じました。調査の結果、不正なログインに使用されたID・パスワードは弊社で使用されていないものが多数含まれており、他社サービスのID・パスワードを使用した「パスワードリスト攻撃」による不正ログインと判明しました。

不正ログインの状況
（1）不正ログイン件数：3,467件（不正ログイン試行件数は約3万件）
（2）閲覧された可能性のある項目：
クロネコID、メールアドレス、利用の端末種別（パソコンまたは携帯・スマートフォン）、氏名、氏名ふりがな、電話番号、性別、郵便番号、住所、クレジットカード情報（カード番号の下4桁・有効期限・氏名）、アドレス帳情報（氏名・住所・電話番号）

（公式発表より引用）

■公式発表　クロネコメンバーズにおける不正ログインについて

◆キタきつねの所感

私もクロネコメンバーズに入っていますが、事件公表後に普通には入れているので、対象ではなかったという事なのでしょう。

この事件は、典型的なパスワードリスト攻撃だと思いますが、パスワード試行が約3万件で、不正ログイン成功が3467件（約11%）というのは、かなり成功率が高い気がします。

※先日の辻さんの講演では、パスワードリスト攻撃の成功率が1%以下と話されていたかと思いますが、それと比較して、成功率が高い＝攻撃リストが新しくなっている事には要注意と言えるかも知れません。

正しく知り、育てる力をどう養うか--セキュリティリサーチャーの辻氏が語る「脅威と向き合う素地」 - (page 2) - ZDNet Japan

とは言え、ヤマト運輸のクロネコメンバーズは約2800万人もの会員数を抱えている訳ですから、7/22に攻撃を受けて、７/23に検知し、7/24に発表出来ている事から考えると、必ずしもヤマト側の対応が遅かったとは思いません。企業としては比較的早く対応している方でないかと思います。

クロネコメンバーズへの不正アクセスと言えば、2014年にも一度発生していますが、（※1万件不正アクセス成功／約19万件の試行）これ以降に、オプションではありますが、ヤマト運輸は2段階認証を導入しています。

japan.cnet.com

ではありますが、2段階認証はスマホでは実装されていませんでしたので、この部分についてはヤマト側は責められても仕方が無いかも知れません。

その他に気になる点として、時系列を見ると22日夜から攻撃が始まって、検知は23日と少し遅れています。

2019年7月23日（火）、特定のIPアドレスからの不正なログインを確認し、緊急の措置として、該当のIPアドレスからのログインを遮断するなどの対策を講じました。

一度リスト型攻撃で大きな不正アクセス被害を受けているので、どうして機械ツールで3万件の不正アクセス試行を止められなかったのかについては少し気になる所です。

特定のIPアドレスとの記載があるので、ごく少数の海外IPアドレスから大量に不正アクセス試行がされたのではないかと推測しますが、自動的に怪しい通信を遮断できなかった部分については、何か問題があったと考えても良いかも知れません。

パスワードリスト攻撃への対応については、生体認証（FIDO）など多要素認証への移行が最も有効ではないかと思いますが、その過渡期の現在、よく使われている2段階認証技術であるOTPについては、なかなかオプション追加手段をユーザ側が使わない事もあり、やはり未だにパスワードを使い回ししている現状を考えると、多くの会員サービス事業者は問題を抱えたままである事が推察されます。

利便性（ユーザビリティ）と安全性（セキュリティ）のバランスは大きな問題ではありますが、企業が真剣に向き合わなければいけない段階にきているのかも知れません。

余談です。この手の大手企業のインシデントが発生した際には、ヤフーニュースのコメント欄が勉強になります。今回も覗いてみたのですが、、、色々と考えさせられるコメントが多数ありました。（※はキタきつねの感想）

f:id:foxcafelate:20190728110653p:plain

※海外のサービスでは必須項目が驚くほど少ないケースが多い気がしますが、日本は無駄に情報を必須指定しているケースが多いですね。

f:id:foxcafelate:20190728111112p:plain

※パスワードの使い回しをしている人が圧倒的に悪いと私も思います。ただ、現実的には覚えられない問題でもあるので、個人対策として末尾文字のサービス付与（私は＃YM・・といった記号込みの3文字追加がお勧めですが）は良い考えだと思います。

f:id:foxcafelate:20190728111221p:plain

※情報漏洩対策・・・情報を登録しない事ですかね。パスワードを使い回ししないべきですが、それをしてしまうと企業側で対策としては利便性を落とす（例：ログインが面倒になる）事になります。それを受け入れるか、リスクがあると認識して、自分のパスワードを強化するか、あるいはオプションである2段階認証を使うサイトだけに情報を登録するしか今はないかも知れません。

f:id:foxcafelate:20190728111303p:plain

※まさにその通りですね。パスワードを使い回ししている人が批判するのは、自身が無責任である事を自ら公言している事に他ならないと思います。

f:id:foxcafelate:20190728111533p:plain

※パスワードの実情は・・・色々と漏洩したパスワードを見ると日本も海外も変わらないのではないかと思える程に、酷いです。ユーザ自衛、まさに多くのユーザにとって必要な事かも知れません。

f:id:foxcafelate:20190728112306p:plain

※メール1本・・・やはりヤマト側にも問題があるみたいですね。2度目の個人情報漏洩（不正アクセス）の可能性があるといった対策ではなかったのかも知れません。

f:id:foxcafelate:20190728112356p:plain

海外IPも頻繁に変えてくる攻撃事例もある様です。その点では１つブロックしたとしてもイタチごっこというのはあり得そうです。やはり機械的な（AIでの）不正アクセス試行には、機械的な（AIでの）防御が必要になってきているのかも知れません。

■日本人のためのパスワード2.0 ※JPAC様ホームページ

7/8に日本プライバシー認証機構（JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

f:id:foxcafelate:20190728105940p:plain

更新履歴

2019年7月28日AM（予約投稿）

2019-08-04

ベネズエラの停電

つぶやいてみた。

ベネズエラで大規模停電が7/22に発生し、米国からの「電磁波攻撃」により発電所が攻撃を受けたとマドゥロ政権は発表しました。

www.asahi.com

　政情不安が続く南米ベネズエラで２２日午後、再び大規模な停電が発生した。現地報道によると、停電の範囲はほぼ全土に及んだ。マドゥロ政権は「発電所が電磁波攻撃を受けた」と発表した。

　現地報道などによると、停電が発生したのは２２日午後４時４０分ごろ。カラカスで地下鉄が止まったほか、各地で信号や通信機器が使えなくなるなどした。

（朝日新聞記事より引用）

◆キタきつねの所感

ベネズエラは今年5月に親米野党のクーデターが失敗している事もあり、政権側はアメリカへの敵視感が強いと言われていますが、今回のマドゥロ政権の「米国」による電磁波攻撃について、証拠は一切開示されていません。

正直アメリカなら、発電所が落ちる様なサイバー攻撃の手段をたくさん持ってそうな気もします。そうした意味では、米国がやるなら普通のサイバー攻撃でもよかったんではないか？と思います。

マドゥロ大統領は、ドローンにプラスチック爆弾が積まれて暗殺未遂が起きた！と大々的に発表していた事もありますが、いくつかの検証報道では、プラスチック爆弾には爆発後の写真ほどの破壊力が無かった・・ともいわれてますので、今回も単なるサイバー攻撃を”電磁波”といったのかも知れません。

www.cnn.co.jp

しかし、朝日新聞の取材では・・・違った意見も載っていました。

　ベネズエラでは今年３月以降、大規模停電が頻繁に発生。マドゥロ政権は、敵対する米国によるサイバー攻撃や電磁波攻撃と主張してきた。しかし、チャベス前政権で電力相だったエクトル・ナバロ氏は、朝日新聞の取材に「送電設備周辺で草刈りを怠り山火事が起きるなど、施設の管理不足が停電の原因だ」と語った。

（朝日新聞記事より引用）

更に海外メディアを調べてみると、CNNでは更に違った理由が出されていました。

マドゥロ大統領と他の政府高官は過去に「テロ」と野党の妨害破壊行為を非難してきました。そして、しばしば米国の関与を主張しました。その他の理由としては以下が挙げられます。

・高電圧ケーブルを噛んだイグアナ、2010年の東北地方での停電を説明した理由
・昨年10月にルイス・モッタ・ドミンゲス電気大臣が主張した「ネズミ、ネズミ、ヘビ、ネコ、リスなどの動物」が水力発電システムの変電所に侵入
・2018年6月に上級官僚のLisandro Cabelloが主張したように、赤道近くの国の立場は、「我々は太陽に非常に近い」という事実は、ベネズエラにおいて他の国々よりも電力のより集中的な使用を意味する

（CNN記事より引用）※機械翻訳

経済危機が悪化し食料や衣料品が不足していて400万人が脱出したベネズエラだけに、どれもそれっぽく聞こえます。大規模停電がどういった理由だったのかは、あるいは米国の電磁波攻撃の詳細については、続報を待つしかなさそうですが、色々な意味でベネズエラの動向から目が離せないなと思います。

■日本人のためのパスワード2.0 ※JPAC様ホームページ

f:id:foxcafelate:20190803094959p:plain

更新履歴

2019年7月28日AM（予約投稿）

2019-08-03

キーボード配列変更

つぶやいてみた。

キーボードを上手く使えるとパスワードを覚えられない問題が解消するかも知れません。

www.gizmodo.jp

すべてのキーに自由に機能を割り当てられるキーボード｢Nemeio｣が登場しました。配列も言語も、ダークモードもホワイトモードも、その明るさすらも意のままに変えられるのです。

フランスでデザインされた｢Nemeio｣は、81個のキーの下にeインクスクリーンが仕込まれています。公式サイトによりますと、キーは100％カスタマイズ可能で、カスタマイズは専用アプリから行ないます。なのでQWERTY、AZERTY、Bépo、フランス語、スペイン語、中国語など、好きなように配列や言語で表示できるんです。

（Gizmodo記事より引用）

youtu.be

◆キタきつねの所感

キーボード配列を自分でカスタマイズできるとなると・・・自分の入力しやすいショートカットが便利に使えるキーボード配列とするだけでなく、危ないパスワードに毎年ランクインする、

「qwerty」といったキーボード配列をベースにしたパスワード、、、これがまったく違う文字にする事ができるのを示唆しています。これでキーボードを順番に叩いたパスワードの強度が高くなる？かも知れません。

eインクの技術だと確かにできそうですね。とは言え2019年内の発売予定の様ですので、、、もうしばらく待つ必要がありますが、なかなかデザインにも凝ったキーボードが使えるようになるかも知れませんね。

因みに、キーボード配列は、専用アプリのアイコンライブラリーからドラッグ＆ドロップで変更できるようです。

f:id:foxcafelate:20190728121757p:plain

■日本人のためのパスワード2.0 ※JPAC様ホームページ

f:id:foxcafelate:20190728120726p:plain

更新履歴

2019年7月28日AM（予約投稿）

2019-08-02

ベライゾンの2019年度データ漏洩／侵害調査報告書

つぶやいてみた。

ようやくベライゾンの「2019年度データ漏洩／侵害調査報告書」（日本語版）が出てきそうです。セキュリティ関係では海外で特に信頼がされ、引用例も多い年次調査レポートです。DBIRとも呼ばれるこのレポートは、協力事業者も多いので客観的と言われており、特に海外での犯罪傾向をつかむには必見のレポートと言っても過言ではないかと思います。

www.the-miyanichi.co.jp

■公式（ベライゾンHP)

　2019年のレポート（日本語エグゼクティブサマリー）

　　・・2018年版はありますが、2019年版はまだ見当たらず

◆キタきつねの所感

ベライゾンから日本語エグゼクティブサマリーが出たというリリースなんですが、残念ながらベライゾンのホームページに当該内容が見当たりません。（※英語版はあります）

追って掲載されるのかと思いますが、DreamNewsに掲載されたPR記事内容を元に見ていきます。

経営幹部クラスがサイバー犯罪の最新の標的に

● 経営の幹部クラスがソーシャル侵害の標的になるケースが増加および活発化している――金銭目的によるソーシャルエンジニアリング攻撃の増加と連動
● 盗まれた認証情報（98%）を悪用したウェブベース電子メールアカウントへの侵害が増加――ウェブアプリケーションへのハッキングを含む攻撃の60%で観測
● いまでも全漏洩の4分の1はスパイ活動との関連がある
● ランサムウェア攻撃は依然強く、分析されたマルウェアインシデントの24%を占め、もっとも利用されたマルウェア種類で第2位だった
● データ漏洩／侵害調査報告書（DBIR）第12版に含まれるデータ提供者は調査開始以来最高の73団体
● 41,686 件のセキュリティインシデントを分析、86か国で確認された漏洩は2,013件

この辺りは、既に英語版が出ていたので、5月に簡単に記事にしています。（英語リリースから2か月かかっている訳ですが・・）

foxsecurity.hatenablog.com

ベライゾン側の分析が以下の内容です。

上級管理職へのなりすまし攻撃が成功すれば、彼らは（ほぼ間違いなく）承認権限や、基幹システムへの特権的なアクセス権限を有することで、多大な利益を得ることもできてしまいます。上級管理職は一般的に時間に追われることが多く、職務遂行へのプレッシャーを感じているため、メールをさっとレビューしてクリックし、すぐ次へ（あるいはアシスタントにメール管理を代行させて）と処理しているうちに、疑わしいメールでも通過させてしまうことがあります。ビジネスメール情報漏洩（BECS――分析のうち、インシデントは370件、確認された漏洩は248件）のように、ソーシャル攻撃の成功率の増加は、ストレスフルなビジネス環境とサイバー犯罪リスクについての教育の欠如が相まって、企業・組織にとって不健全な状態を生み出す可能性を秘めています。

特権ユーザの中でも社長や経営陣にロジカルの権限を持たせるのが危険である事を示している気がします。

今年度の調査では、コスト効率的なクラウドベースのソリューション内部で情報をシェアし保存するという流れが強まるほど、いかに企業がさらなるセキュリティリスクに晒されているかが浮き彫りにされています。分析によって明らかになったのは、盗まれた認証情報が使われることによってクラウドベースのメールアカウントの情報漏洩が増加するということです。さらに、クラウド上で公表されるエラーが年々増加しています。間違った設定（「混合型エラー」）により、大規模なクラウドベースのファイルストレージ漏洩が多数発生し、分析したDBIRのデータセットのうち、少なくとも6,000万件が流出していました。これはエラーを原因とする漏洩の21%にあたります。

この部分も事件が頻発しています。設定ミスは、AWSサービス利用事業者がここ1-2年、外部のホワイトハッカーに「見つけられてしまっています」が、この部分とも合致します。

AWSは以前から警告を発している - Fox on Security

サマリー内容で気になる部分は、

サマリーに載っている主な調査結果
DBIR は、サイバー脅威のランドスケープに関する包括的なデータ主導型分析を提供しつづけています。2019年度報告書の主な調査結果は以下の通りです。
● FBI インターネット犯罪苦情センター（通称IC3）による新分析：ビジネスメール情報漏洩（BEC）やコンピュータデータ漏洩（CDB）の影響に関する知見に満ちた分析を提供。BECの改善方法にフォーカスした調査結果。IC3のリカバリーアセットチームがBECに対処し、メールの送付先となった銀行と協力した結果、アメリカを拠点とするビジネスメール情報漏洩案件の半分で資金の99%が回復または凍結された。まったく回復できなかったのはわずか9%。
● 人事部への攻撃は昨年度より減少：DBIRデータセットから「W-2詐欺」がほとんど消滅したことにより、今年度の人事部への攻撃は昨年度の6分の1だったことが判明。
● チップ・アンド・ピンによるペイメントテクノロジーが功を奏しはじめた：物理端末での支払いカードに関連する情報漏洩件数は、Webアプリケーションからの情報漏洩と比較して、減少傾向。
● ランサムウェアによる攻撃は依然衰えず：マルウェアを利用したインシデントの24%近くを占めている。ランサムウェアは当たり前になりすぎて、目立った標的でもなければ専門メディアではあまり話題にならなくなった。
● メディアが煽ったような暗号検索攻撃はほぼ皆無：これらのタイプの攻撃は、マルウェア上位10種に入っておらず、インシデントのわずか2%を占めるのみ。
● 外部の驚異は依然として優勢：攻撃の裏にいる主力はいまでも外部の脅威行為者（漏洩の69%）であり、内部の行為者は34%。

ビジネスメール詐欺は、米国では被害が激減している・・という点。下火になるという考え方も正しいかも知れませんが、日本を含む、防御態勢が弱い米国以外の他国に攻撃の対象が移るという可能性もあるので要注意なのかなと思います。

チップ・アンド・ピンは、クレジットカードのICカード化の事を指しています。米国で急速にクレジット/デビットカードのICカード化が進んでいるので、その成果が出ていますよという内容です。

ランサムは被害が拡大せずに攻撃被害が隠蔽された（軽微な）件を含め、日常化している様です。特に米国では地方自治体、病院、学校などの被害が未だに頻発しています。WannCry級の拡大被害をもたらすランサムがまた出てくる事も十分に考えられますし、来年はWindows7のサポート切れがやってきますので、2020年は特に警戒すべき年となるかも知れません。

犯行の内外比率は、正直内部34%・・・の方が驚きです。米国などのデータと日本のデータは少し違う気がしますが、外部ハッカーからの攻撃に対して常にアンテナを張っておくべきなのは変わりが無い様です。

注目すべき業界ごとの発見は以下の通りです。
● 教育サービス：金銭目的の犯罪が目立って増加（80%）した。全漏洩の35%がヒューマンエラーによるもので、漏洩の約4分の1はWebアプリケーション攻撃によるものだった。そのほとんどが、クラウドベースのメールにアクセスするのに盗まれた認証情報を悪用したものだった。
● 医療：この事業分野だけは、外部からの攻撃よりも内部によるもののほうがつねに上回っている（それぞれは42%と60%）。驚くことではないが、この業界では医療データの漏洩が18倍もある。内部行為者が絡んでいる場合、それは医師や看護師などの医療専門職であるケースが14倍となっている。
● 製造業：昨年度に続き今年度も、製造業における漏洩の主な理由となったのは金銭目的の攻撃がサイバースパイよりも多く、今年度はさらにその割合が増加した（68%）。
● 公共機関：今年度はサイバースパイが増加した。とはいえ、漏洩の47%近くは最初の攻撃から何年も経過してから発見された。
● 小売業： 2015年以降、店頭（PoS）での漏洩が10分の1に減少した一方で、ウェブアプリケーションからの漏洩は13倍に増加した。

業界別の内容がサマリーの最後にありました。日本では教育・医療・公共・小売（POS）はあまり被害が出ていませんが、今後は要注意かも知れません。

製造業は今年はトヨタもサプライチェーン攻撃を受けましたし、対象企業のすそ野も広いですので、欧米よりも日本が影響を受けるリスクは毎年高くなってきている様な気がします。

トヨタも狙われる - Fox on Security

もう少ししたら、日本版サマリーや日本版のフルレポートがベライゾンから出るかと思いますが、セキュリティ関係者は、是非継続的に見てみると良いかと思います。確かベライゾンは、DBIRのセミナーを毎年東京で開催していたかと思いますので、こうしたセミナーに参加されるのもお勧めです。

■日本人のためのパスワード2.0 ※JPAC様ホームページ

f:id:foxcafelate:20190728100412p:plain

更新履歴

2019年7月28日AM（予約投稿）

2019-08-01

コーナンPayのフィッシングメール被害

不正アクセス事件調べてみた。

ホームセンターを展開するコーナンがPayサービスを開始していたのを、この記事を読んで初めて知りました。雨後の筍の様に●●Payが立ち上がっている気がしますが、同時にそれはハッカーに狙われる対象が増えている事でもあります。

www.itmedia.co.jp

　ホームセンター「コーナン」を運営するコーナン商事は7月24日、独自の電子マネー「コーナンPay」で不正ログインが相次いだとして、サービスを一時停止したと発表した。現時点で金銭に関わる被害は確認していないという。

（中略）

　コーナンPayのアカウント発行手続きを行う正規のアドレス「noreply@value-wallet.com」から、不特定多数に「コーナンPay サービスアカウント発行のご案内」と題したメールが届いていることを23日に同社が確認した。このメールは、コーナンPayに登録していないメールアドレスを使ってログインを試みたときに自動送信されるもので、何者かが他人のメールアドレスを入力して不正ログインを試みた可能性があるという。

（ITMedia記事より引用）

■公式発表　コーナンＰａｙサービス一時停止に関するお知らせ

　　　　　コーナンＰａｙサービス提供の一時停止について（第2報）

◆キタきつねの所感

公式発表をされている内容だけ見ると、パスワードリスト攻撃による不正ログイン試行なのかなと思うのですが、ロケットニュースにこの事件に関連したと思える7/24記事があり、この内容を読むと、フィッシングメール攻撃での不正ログイン試行の可能性が高いのかと思います。

rocketnews24.com

「設定したパスワードは」と書かれていることから、おそらく「メールアドレス＆パスワード」の組み合わせや、そのほか個人情報を入力する画面に飛ぶのだと推測されるが、やたらと長いURLが見たまんま怪しすぎる。絶対に踏んではなならないURLであることは明白なのだが……

いちおう、Android用のページにもPCから飛んでみたのだが、同じく「Not Found」とのこと。メールには「URLの有効期限は24時間」と書かれていたが、早々に閉店ガラガラしたようだ。

・コーナンに聞いてみた！
以上のように、不可解な点がいくつもある時点で迷惑メール確定なのだが、念のため、本当のコーナンPayカスタマーサポートに電話をし、本物なのか偽物なのかを聞いてみたところ、以下のような返答だった。

・多数の方よりお問い合わせ頂いております。
・第三者により勝手に送られたメールかと思われます。
・コーナンから送ったメールではありません。

──とのことで、やはり予想通り「迷惑メール」とのことだった。また現在、さらなる調査を進めているらしく、調査が完了したらコーナンのHP等で調査結果をお知らせするとのことである。続報を待とう。

（ロケットニュース24記事より引用）

ただし、ロケットニュース24の記者さんが怪しげなリンクを踏んだ先は既に閉鎖されていた様ですので、攻撃自体はもう少し前だった、あるいは短期間だけ偽サイトが活動していたと考えても良いのかもしれません。

因みにコーナンPayは2019年4月にサービス開始しているので、不正アクセスの被害を受けた一部の方は、4月以降（おそらく７Payでの攻撃が成功した7月初旬以降）に迷惑メールを受けていたのかと思います。

この事件を聞いて、７Payの事件を思い出してしまいますが、攻撃の起点は「フィッシングメール攻撃」だと思いますので、被害がそう大きくないと思われる状況で、コーナン側がサイトを閉鎖するまでの攻撃だったのか？と考えると少し疑問です。むしろユーザ本位でサービスを一時止めた、予防的措置の意味合いが強い様です。

しかし、その攻撃に至った背景について考えてみると・・・今はページが消えていますが、コーナンPayの説明ページ（魚拓ページより引用）にその原因と推測させる要素がありました。

f:id:foxcafelate:20190728084644p:plain

ちょっと見ずらいですが、アカウント登録の部分がID（メールアドレス）とパスワード、つまり1要素認証です。

そして、詳細は書かれていませんでしたが、気になる文言がありました。

「初めてオンラインチャージを行う場合は、クレジットカードの登録を行う必要があります。」

f:id:foxcafelate:20190728085108p:plain

2回目以降が、もし仮にパスワード（PIN）だけでチャージが出来るなら、お店で換金性の高い商品を買う攻撃につながっていたかも知れません。現在までの所、そうした被害があったとはコーナン側からは発表されておらず、

つきましては、お客様に損害が発生することを防ぐため、コーナン Pay サービスの提供を一時停止させていただきます。

（公式発表より引用）

報道各社からもそうした内容で報じられていませんので、恐らく未然（軽微な被害）で防げていたのかと思います。

とは言え、初回チャージに関しては、３Dセキュア対応になっていましたので、この部分は問題なかったのではは無いかと思いますが、

f:id:foxcafelate:20190728085542p:plain

しかし、初回チャージ済のコーナンPayユーザが、PINコードまで窃取されて再チャージが（３Dセキュア不要で）出来たとすると、もう少しで７Payの様な攻撃が成功してしまったかも知れません。

チャージ上限を見てみると、モバイルアプリからだと20万円までプリペイド残高が持てる様ですので、システム運用に脆弱性があれば、クレジットカード与信額の問題はありますが、かなり大きな被害が出ていたかも知れません。（因みに７Payは10万円が上限額）

f:id:foxcafelate:20190728085840p:plain

●●Payサービス事業者は、７Payの例を出すまでもなく、プリペイドポイント（電子通貨）やポイントという攻撃者からみれば換金性の高いものに交換できうる資産を保有しているという認識で、攻撃者の視点で、自社サービスのセキュリティを再チェックする必要があると考えるべきだと思います。

来年の東京オリンピックに向けてキャッシュレス決済普及が進んでいく事を考えると、第三者の脆弱性診断、あるいは侵入テストというのが必要なのではないかと強く感じます。

(8/3追記）

事件の第2報が8/2に出ていました。リスト攻撃を受けての実被害はなかった様です。不正ログイン試行だけして逃げた・・・嫌がらせ程度の攻撃だったと思われます。

（１）調査結果
マネーの利用履歴及びアクセスログ等の調査の結果、マネーの不正利用の事実ならびに、個人情報（氏名、住所等）及びクレジットカード番号が閲覧されたり、参照されたりした事実はないことが確認できました。

（コーナン公式発表より引用）

■日本人のためのパスワード2.0 ※JPAC様ホームページ

f:id:foxcafelate:20190728073600p:plain

更新履歴

2019年7月28日AM（予約投稿）
2019年8月3日AM　第2報を受けて一部追記

2019-07-31

金剛堂オンラインストアもEC-CUBE

PCI DSS クレジットカード情報漏えい事件不正アクセス事件つぶやいてみた。

連日ECサイトからの漏洩事件が報じられるのは、カード会社側でまとめた方が良い・・・といった理由でもあるのでしょうか。創価学会専門の仏壇・仏具を販売する金剛堂からのカード情報漏洩が報じられていました。

www.security-next.com

■公式発表　弊社が運営する「金剛堂オンラインストア」への不正アクセスによるクレジットカード情報流出に関するお詫びとご報告

(1)流出した可能性がある期間・規模
　 2014年12月31日～2019年2月21日の間に当該サイトでクレジット決済されたお客様
　 30,830件

(2)流出の可能性があるクレジットカード情報
　・カード名義人名
　・クレジットカード番号
　・有効期限
　・セキュリティコード

（中略）

2.経緯

2019年2月21日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の流出懸念について連絡を受け、同日、「金剛堂オンラインストア」でのカード決済を停止いたしました。
また、速やかに外部の第三者機関である「P.C.F. FRONTEO株式会社」（以下、「PCF社」といいます）に依頼し、調査を開始しました。PCF社の最終インシデント調査報告書によりますと、システムの一部脆弱性を狙った不正な改ざん（※フォームジャッキング）が発見されたことから、お客様のクレジットカード情報が不正取得された可能性があることを確認いたしました。

（公式発表より引用）

◆キタきつねの所感

金剛堂のサイトを魚拓サイトで見ると、EC-CUBEと判断される特徴がありました。

f:id:foxcafelate:20190725160446p:plain

創価学会系のサイトというと、昨年10月にSOKAオンラインから、フォームジャッキング（決済画面（偽）ページから情報が窃取される攻撃）でカード情報が漏洩しましたが、ファイルの改ざんが2014年末から2019年2月という事なので、標的型攻撃の可能性もありそうです。scan.netsecurity.ne.jp

気になったのは、フォレンジック調査で漏洩対象期間が2014年からとなっていた点です。改ざんされたファイル（※決済ページだと思いますが）のタイムスタンプが2014年となっていて、これが事実だとすると、4年間、不正侵入（ページ改ざん）の事実に気づかなかった事になります。

4年の間に自己点検するタイミングは何回かあったかと思います。

例えば2018年3月~5月頃に実施したECサイトが多いカード情報非保持化対応、あるいはSOKAオンラインが侵害を受けた後に、自社のECサイトのセキュリティを見直してなかった事が被害を拡大したのではないでしょうか。

これが多くのECサイトの現状だとすれば、今後も（特に中小規模の）ECサイトから漏洩事件は継続的に出てきてしまう事が懸念されます。カード情報非保持にしておけば安全であるというのは過信であり、ECサイト運営事業者は、自社の責任範疇の部分については非保持は担保してくれてないという事に、今一度注意を払うべきだと思います。

※8/27追記　EC-CUBE使用ver調査結果：v不明　（魚拓：2019/1/19調査）

　http://kongodo.co.jp/js/css.js　

　EC-CUBE利用は確認されましたが、差分情報を持ってない為、Verは不明　

f:id:foxcafelate:20190827182820p:plain

■日本人のためのパスワード2.0 ※JPAC様ホームページ

f:id:foxcafelate:20190727180342p:plain

更新履歴

2019年7月27日PM（予約投稿）
2019年8月27日PM　EC-CUBEバージョン調査結果を追記

2019-07-30

叶匠寿庵もEC-CUBEだった

不正アクセス事件クレジットカード情報漏えい事件 PCI DSS

システムメンテナンスはカード情報漏洩かも知れない。この仮説がある程度正しい事を、Security Nextさんの叶匠寿庵からの情報漏洩記事で説明できそうです。

www.security-next.com

■公式発表　叶匠寿庵オンラインショップへの不正アクセスによるクレジットカード情報不正取得被害のお詫びとご報告

2．クレジットカード情報流出の原因
弊社が運営する「叶匠寿庵オンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセス。

3. 個人情報流出の可能性があるお客様
2018年9月17日～2019年3月13日の期間「叶匠寿庵オンラインショップ」においてクレジットカード決済をご利用されたお客様1,767名で、流出した可能性のある情報は以下のとおりです。

【流出した可能性のある情報】
・カード会員名
・クレジットカード番号
・有効期限
・セキュリティコード

（公式発表より引用）

◆キタきつねの所感

滋賀県大津市の和菓子製造の老舗「叶匠寿庵（かのうしょうじゅあん）」がカード情報を漏洩している可能性があるのは、フォックスエスタでも記事を書いておりますが、かなり可能性が高いと予想していました。

foxestar.hatenablog.com

まだ叶匠寿庵のリリースが残ってますので、引用しますと3月16日の段階で「オンラインショップ販売休止」のお知らせを出しています。メンテナンスに数カ月かかる・・というのは普通のITシステムではありえませんので、この間にフォレンジック調査をしていたと想像できます。

f:id:foxcafelate:20190727164358p:plain

また、叶匠寿庵はEC-CUBEを利用している事が判明していましたので、他のEC-CUBEユーザと同様に不正アクセスを受けた可能性がある事は容易に推測できました。

因みにEC-CUBEの特徴がよくわかるのが、下記の様な新規会員登録画面です。（※URLにもデフォルトの癖があるので、この2点で、大きくカスタマイズしていなければ大体EC-CUBEである事の判別ができます） f:id:foxcafelate:20190725160345p:plain

今回の発表で気になったのは、フォレンジック調査会社が2か月程で最終報告を5/15にしていたのですが、結局対外発表は事件発生から4カ月以上（7/22）かかっています。関係者等との調整に時間がかかるのは当然としても、最終報告受領から2か月かかるのは、結構かかるなと言う印象です。大きなECサイトでカード情報漏洩事件が発生すると、経営インパクトが更に大きいと考えるべきかも知れません。

事件を受けた原因について、叶匠寿庵は実際の画面構成を開示してくれています。おそらくフォレンジック調査会社はこうした情報をECサイトに報告しているものと思いますが、伊織など一部を除いて、あまり侵害を受けた手口について開示されません。

フォームジャッキングの例として、どんな部分を警戒すれば良いのか、ECサイトには良い情報となると思います。

f:id:foxcafelate:20190725160307p:plain

この情報を元に改めて考えると、購入ユーザが、URLを確認したり、セキュリティコードを入力するところがおかしいと気づくかと言えば、何度も購入しているユーザやセキュリティに詳しい方はともかく、一般の人がこの差分を気づくのは難しいかと思います。（※啓蒙がもっと必要だと思います）

だとすると、ECサイト側がもっと対策をしなければいけないかと思います。EC-CUBEの緊急告知の対策を講じる事もあるでしょうし、決済情報の入力ページが狙われている訳ですから、Web改ざん検知を検討するのも有効かと思います。更に言えば、３Dセキュア導入も（違う偽画面対策も必要なことがありますが）、リスクベース認証が提供されて、こうした攻撃に耐性があるかも知れません。

とは言え、EC-CUBE利用サイトから継続的に漏洩事件が発生しているのは、やはりその攻撃を受ける要因がECサイト側にあるのだと思います。推測になりますが、EC-CUBEのサイトが改ざんを受けるのは管理者アクセスに問題をかかえるサイトが多いからではないでしょうか。

foxsecurity.hatenablog.com

※8/27追記　EC-CUBE使用ver調査結果：v不明　（魚拓：2019/1/19調査）

https://www.kanou.com/products/js/site.js

EC-CUBE利用は確認されましたが、差分情報を持ってない為、Verは不明　

f:id:foxcafelate:20190827184416p:plain