Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

おもちゃ箱もEC-CUBE

PCI DSS クレジットカード情報漏えい事件 不正アクセス事件

海外行っている間に2件のカード情報漏洩事件が出ていた様です。遅ればせながら調べてみます。

www2.uccard.co.jp

 

公式発表 「omochabakoWEBSTORE」への不正アクセス発生についてのご報告とお詫び

 

1.漏洩の可能性のある期間ならびにお客様について
2016年2月3日~2019年3月11日
流出した証跡を確認した期間:2019年1月31日~2019年3月8日(該当のカード件数は延べ210件)
・流出した証跡は確認できないが懸念される期間:2016年2月3日~2019年3月11日(対象期間内の決済カード件数は延べ40,233件)

※該当のお客様へは別途メールにて個別にご案内いたします。
※お電話、FAXのみでご注文いただいているお客様には、別途書面にて個別にご案内いたします。

2、漏洩の可能性のあるデータ
流出した可能性のあるクレジットカード情報は以下の通りでございます。
①カード会員名
②クレジットカード番号
③セキュリティコード
④有効期限

3、原因
弊社ではカード番号を変換したクレジットカード決済サービスを利用し、運営カード番号の伝送・処理・保管はしない仕組みで運営しております。しかしながら、攻撃者によるWebアプリケーションの脆弱性を利用したクレジット決済アプリケーションの改ざんが行われ、ご登録いただいたクレジットカード情報等が抜き取られた可能性があることが判明いたしました。

(公式発表より引用)

 

◆キタきつねの所感

EC-CUBEを利用しているかどうかは、会員登録画面など、特徴的な判断ポイントがありますが、omochabako-webstoreには、典型的なEC-CUBE利用の特徴がありました。またEC-CUBEユーザからのカード情報漏洩事件の様です。

 

f:id:foxcafelate:20190811192604p:plain

 

ECサイトでのカード決済停止が3月11日だった様ですが、

4、対策
カード会社から決済代行会社を通じて、弊社オンラインショップで情報漏えいの懸念がある旨連絡を受け、2019年3月11日に被害拡大防止のため直ちにオンラインショップでのカード決済のご利用を停止いたしました。
クレジットカード会社には、該当するクレジットカード情報を報告し、それ以降の不正利用の防止モニタリングのお願いをしております。また今回の調査結果を踏まえ実施可能な施策を行うとともに、更なるセキュリティの強化を進めてまいります。

(公式発表より引用) 

 

魚拓サイトで調べてみると、システム障害として告知していた様です。

f:id:foxcafelate:20190811201357p:plain

f:id:foxcafelate:20190811201650p:plain

 

おもちゃ箱ECは、EC-CUBEユーザの実績サイトでは見かけなかった(まだ?)ので、この事から考えると、まだまだEC-CUBEユーザは既知の脆弱点を攻められて事件発表が続いてしまうのではないかと思います。

 

更に公式発表で気になったのが、

・流出した証跡は確認できないが懸念される期間:2016年2月3日~2019年3月11日(対象期間内の決済カード件数は延べ40,233件)

 

フォレンジック調査で特定できない期間が出ている事です。2016年と言うと同サイトがサイトリニューアルを行った年なので、リニューアルしてからカード情報が抜かれ始めている可能性を示唆していると思われます。

 

※魚拓サイト参考

f:id:foxcafelate:20190811202531p:plain

この事から、omochabakoWEBSTOREは、該当期間のログを全く残してなかったので、判断できる材料がフォレンジック調査で見つからなかったのだと思います。

 

ログを残してなかった故に被害範囲が拡大してしまう、これも他ECサイトにとっても教訓となるかも知れません。

 

210件のカード情報漏洩ではなく、4万件を超えるカード情報漏洩の疑いに規模が拡大してしまっており、カードの再発行を含む顧客対応が必須となるかと思います。例えば1件のカード再発行に1000円の費用がかかったと想定すると、、、4万枚のカード再発行に要する試算コストは4000万円210件だった場合の21万円と比較すると、たかがログ・・・と言えないのではないでしょうか。

 

 

  ※8/27追記 EC-CUBE使用ver調査結果:v不明(魚拓2019/3/26調査)

 https://www.omochabako-webstore.jp/js/css.js

 EC-CUBE利用は確認されましたが、差分情報を持ってない為、Verは不明 

f:id:foxcafelate:20190827183814p:plain



 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 

f:id:foxcafelate:20190811204530p:plain

 


 

更新履歴

  • 2019年8月11日PM(予約投稿)
  • 2019年8月27日PM EC-CUBEバージョン調査結果を追記

 

Mastercardの国際会議に行ってきた①

行ってきた。 つぶやいてみた。

セキュリティ系の国際会議という意味ではラスベガスで同時期に開催されていたBlackHatの方に多くの方が行っていたのかと思いますが、私は先週MastercardのAP(アジア太平洋)地区向けの国際会議に行ってきました。今年は開催場所がニューデリーだったので、、インドを除くアジア諸国、特に日本からの出席者は例年を下回った様です。

f:id:foxcafelate:20190811094843j:plain

※お盆休みという事もあり、当ブログへお越し頂く方も少ないかと思いますので、インドで撮ってきた写真をいくつかの記事に分けてご紹介したいと思います。

 

因みに国際会議の参加者が少なくなる理由としては、雨季(ベストシーズンではない)である事もあったかと思いますが、水関係の縛りがある事も大きかったかも知れません。在インド日本大使館は、短期滞在者にも予防接種を推奨しています。f:id:foxcafelate:20190811080458p:plain

 

私も海外に行くとお腹がゴロゴロとする事が多いので、A型肝炎と腸チフスの予防接種を打ってからインドに渡りました。とは言え空港の駐車場で早速、リードの無い犬(飼い犬かもしれませんが)を見て、不安に思ってしまいましたが。。。(狂犬病予防接種は打ってませんでしたので・・・)

 

夜間着の便でホテルに向かう車では、日本だと名古屋走りとでも言えば良いのでしょうか、ウィンカー無しで車線変更したり、車線をまたがって車が往来する車事情が伺えました。車を抜かすときに(予防で)鳴らすクラクションも相まって、そこら中でクラクションが聞こえてくる環境は、インドらしい所なのかも知れません。

 

そんな車事情だと、事故も多い様です。普通にボコボコの車が走っています。

f:id:foxcafelate:20190811094901j:plain

 

日中帯に撮った写真です。日本でも有名なTATA自動車ですが、もともとは大型バス(写真だと前方緑のバス)のメーカーなのだそうです。写真右側、オートリキシャ(三輪)が走っている所は、タイと似ていますが、バンコクなどで見かける程にゴテゴテの飾りは見かけませんでした。

f:id:foxcafelate:20190811094951j:plain

 

バイク、オートリキシャ、自動車・・・それ以外にもトラクターだったり、自転車もたくさん走っています。デリーでは交通渋滞が大きな問題となっているそうですが、こうした速度が違う乗り物が、交通ルールがあまり適用されてない様な状況で走っている事も影響しているかなと思いました。

f:id:foxcafelate:20190811095008j:plain

 

 

路側帯ではたまに、バイク(車も数回あった様な・・・)が逆走してきます。渋滞が多いのでこれが近道、という考え方なのでしょうが、個人的には「インドでは運転したくない」程にヒヤリハットが日常化しています。

運転手さんに聞くと交通事故はソコソコ発生している様です。因みに外国人が運転しているとかなりの確率で外国人側に非があると判断されると、インドからの会議参加者の方が言ってました(警察にうまく説明できないか、周りがグルになって外国人が悪いと言いくるめられてしまうのでしょうか・・・)。

f:id:foxcafelate:20190811095319j:plain

良い意味でも悪い意味でもデリーの交通状況は「カオス」と言えるかも知れません。

 

街中では人懐っこい(餌をねだってくるという意味では)犬が多かったのですが、どの犬が狂犬病キャリアか分からないので、、、避けるしかありませんでした。ベンチの下とか、首輪もリードもなくよく見かけますので、旅行客にとってはかなり怖い存在(トラップ)と言えるかも知れません。

f:id:foxcafelate:20190811095028j:plain

 

路上で生活していると思わしき方々も多々みかけました。。貧富の差(カースト)というものを、意識してしまう光景が、デリーのそこら中にあふれていました。

f:id:foxcafelate:20190811095038j:plain

 

その②に続く

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

更新履歴

  • 2019年8月11日AM(予約投稿)

気球による監視

つぶやいてみた。

米国政府の気球テストの記事が気になりました。

www.theregister.co.uk

 

アンクルサムはアメリカの土壌の監視を行うために高度の高い気球を使うシステムをテストしています。

醸造所ではなく航空会社である政府の請負業者であるSierra Nevada Corporationは、米国中西部の広い範囲に漂流する風船を発売し、地上での活動の監視と追跡が可能なネットワークを形成しました。

6万5千フィートの距離で巡航する25の気球を含むペンタゴン順序テストは7月12日から9月1日まで実行されます。

(中略)

一方、ガーディアン紙は本日、シエラネバダの米国政府とのその他の契約は、カメラとセンサーを装備し、メキシコ、中央アメリカ、カリブ海で画像と監視を提供するために使用されていた小型航空機に関するものであると述べた。

そのため、バルーンネットワークは、これらの軽飛行機と並行して、またはその代替として動作するように設計されていると考えられます。65,000フィート(19,812メートル)で操作し、そのレーダーと監視システムに電力を供給するためにソーラーパネルを使用することによって、無人気球は何日も飛行機の中ではるかに長い期間空気中にとどまることができるでしょう。

(TheRegister記事より隠喩)※機械翻訳

 

◆キタきつねの所感

最初は「土壌監視」=農業用となのかと記事を読んでいたのですが、「メキシコ、中央アメリカ、カリブ海」での軽飛行機との連携、または代替に使う事を想定しているとなると、この気球テストの別の目的は、メキシコとの国境監視に使う為であるという気がしてきました。

メキシコ国境に物理的な壁を作るのに比べれば、大したコストでは無い気がします。カメラとセンサーを利用して、ソーラーパネルで動く。現段階ではこの気球に武器が搭載されていませんが、その可能性もあるでしょうし、あるいは地上の国境警備隊沿岸警備隊)と連携する、そんな事をこの実験で試している気がします。

 

物理セキュリティの考え方は、私はどうしても2次元で考えてしまうのですが、3次元で考える時代がすぐそこに来ているのかも知れません。

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 

f:id:foxcafelate:20190803110114p:plain

 

更新履歴

  • 2019年8月3日AM(予約投稿)

チリ成人の1400万人の個人ID漏洩

つぶやいてみた。 海外事件

チリの国民IDデータ1400万件が米国のホスティング会社から漏洩した(正確にはホワイトハッカーによって見つけられてしまった)様です。

www.wizcase.com

 

WizCaseは、17歳以上の1400万人を超えるチリの住民の識別可能な情報を含むデータベースリークを発見しました。3 GBのデータベースは、米国テキサス州ダラスのSoftlayer Technologiesによってホストされていましたが、リークについては責任を負いません。

データベースに含まれるもの:

性別
住所
年齢
RUT番号 - これは社会保障番号に似た国民ID番号です。銀行口座、クレジットカード、オンラインでの購入などに使用できます。
ID番号 - 調査の結果、9桁のIDではないため、パスポートID番号ではないと判断しました。これは内部識別番号である可能性があると考えています

World Population Reviewの国勢調査データによると、チリには推定1,450万人の成人がいるため、このデータベースにはその国の成人人口全体が含まれていると想定するのが安全です。

早速検索したところ、チベットのSebastiánPiñera大統領のRUT番号と住所、そしてMichelle Bachelet元大統領が見つかりました。

(中略)

サーバー上の無担保Elasticsearchエンジンによる発生しました。Elasticsearchのデフォルト設定は、内部ネットワークにインストールされることを意図しているため、認証メカニズムを必要としません。そのようなサーバーがインターネットに開放されていれば、IPアドレスとポート番号を持つ人なら誰でもそれにアクセスすることができます

(WizCase記事より引用)※機械翻訳

 

◆キタきつねの所感

日本で言うとマイナンバーが漏洩した様な影響になるのかと思います。元大統領や大統領の個人情報まで漏洩したと考えると、地球の裏側では大問題になっていると思われます。

チリの成人データがほぼ全て漏洩した可能性がある、これだけでも大きな問題ですが、その漏洩原因が、米国(ホスティング)企業、あるいはそれを委託したチリ側の公開設定ミスであるとすると、何人かデータ管理者の首が飛ぶだろうな・・・と思います。

 

この漏洩の仕方は、AWSの意図しない情報公開と非常に似通っている気がします。何故、ホストしていた米国のSoftlayer Technologies社(あるいはチリの委託元)が公開設定にしていたのか分かりませんが、最近はCloud設定ミスを探す事に長けたホワイトハッカーを抱える企業が複数ありますので、運営(委託)側が、単なる設定ミスではなく、漏洩した可能性がある・・・と発表しなければならない事が多い様です。

foxsecurity.hatenablog.com

 

氏名や住所だけでなく、チリの国民ID(日本で言うマイナンバー)が含まれている様ですので、このデータ漏洩が(ホワイトハッカー以外に)外部へ漏れていたとすれば、フィッシングメールや個人情報の更なる窃取、あるいはリスト型攻撃の材料として、かなり長期間悪用されてしまう可能性がありそうです。

 

日本でも普及率(ネット利用率)が低いマイナンバーカードではありますが、リスクは同じなので、委託先管理あるいはクラウド公開をミスして、機微な情報が漏洩してしまう未来も・・・もしかするとすぐ近くまで来ているかも知れません。

 

マイナンバーのサイト、100億円かけ利用率0・02%:朝日新聞デジタル

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

f:id:foxcafelate:20190803103516p:plain

更新履歴

  • 2019年8月3日AM(予約投稿)

無料WIFI接続のリスク

つぶやいてみた。

海外では鍵のかかってない無線スポットが多数ありますが、セキュリティは気にしてない人が多い様です。

gigazine.net

 

「公共のWi-Fiを使う際、どれくらいセキュリティについて気にしていますか?」という質問をぶつけたところ、「まったく気にしていない」と回答した人が全体の71%を占めました。そして、「ちょっと気にしている」と答えたのは9%、「かなり気にしている」と答えた人は16%で、「わからない」と答えた人は4%でした。アンケート回答者からは、「インターネットにアクセスするためなら危険を冒しても構わない」「公衆のWi-Fiに危険性があるなんて考えられない」といったコメントも寄せられたとのこと。

(Gizagine記事より引用)

 

◆キタきつねの所感

公共Wi-FiSSIDは偽装も簡単なので、スターバックスであっても中間者攻撃や、場合によっては仮想通貨発掘(コーヒーマイナー)の餌食になってしまう事も多々あるのですが、あまり気にしない方が多いのは、海外調査データとは言え、びっくりします。

大手の無線Wi-Fi提供事業者であっても、何気なく使っているWi-Fiが暗号化通信であっても、その電波を中継しているルータ自体に脆弱性がある・・・そんな事もあり得るのです。

 

日本のルータ4割に脆弱性、のっとりも容易 - IoTセキュリティのいま (1) もしスマートスピーカーが攻撃されたら | マイナビニュース

 

普通のメールやSNSだけのやり取りにしか使わず、カード決済はしないし、個人情報は入力しない・・・そんな程度の考え方で、セキュリティには気にしない方が多いのかも知れませんが、最近のスマホはバックエンドで様々な情報をやり取りしており、アプリを起動してなくても・・裏でメール受信をしていますので、認証情報を目に見えない形で摂取する様な事も可能なのです。

自分には取られる重要情報は無いから大丈夫、ではなく何の情報がネットに流れてしまうか分からない、そうした視点で、無料Wi-Fiを使う(できれば使わない)事が重要なのかと思います。

 

こうした公共(無料)Wi-FI利用への防御策はいくつかが考えられますが、まず公共Wi-FIを使っている時は、原則パスワード入力をしない事が重要かと思います(特に使い回ししている方・・・)。その次に重要なのが、必要な(SNSやメールをしている)時だけWi-Fiにつなぐ事でしょうか。そして出来れば使い終わった後に、そのネットワーク設定を削除すると良いかと思います。不正なネットワーク先とつながっている場合、スマホのバックエンドでデータを盗まれてしまう(あるいは違う攻撃を受けてしまう)事があり得ますので、無料Wi-FIへの接続を最小限にする(使ったら消す)考え方が必要かと思います。

 

本当はVPN接続が望ましいのですが、なかなか難しい事も多いかと思いますので、自己防御が大切になるのかと思います。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 

f:id:foxcafelate:20190803100718p:plain

 

更新履歴

  • 2019年8月3日AM(予約投稿)

 

ディノス・セシールの不正検知

つぶやいてみた。 不正アクセス事件

相変わらずディノス・セシールの検知能力は高いのだという事をSecurity Nextの記事を読んで思いました。

www.security-next.com

 

ディノス・セシールは、同社の通販サイト「セシールオンラインショップ」がパスワードリスト攻撃を受けたことを明らかにした。

同社によれば、7月28日に2回にわたって国内のIPアドレスより、本来の利用者とは異なる第三者が不正にログインを試みる「パスワードリスト攻撃」を受けたもの。

今回の攻撃では、22回のログイン試行を確認1件のアカウントでログインを許したという。氏名や生年月日、性別、メールアドレス、保有ポイント、会員ランク、確認メールの送付先などが閲覧された可能性がある。

同社は、今回の攻撃で用いられたIDやパスワードは同社以外で入手されたもので、同社経由の情報流出については否定している。

同社では、不正ログインの被害に遭ったアカウントに対し、ログインできないよう制限。関連する顧客へ連絡を取っている。また攻撃元IPアドレスからのアクセスを遮断した。

(Security Next記事より引用)

 

◆キタきつねの所感

7Payの最終的な見解としては、(ほとんどは)パスワードリスト攻撃だったと記者会見では発言があった様ですが、セキュリティの世界に「たられば」はありませんが、ディノス・セシールに教えを乞うていたら、7Payはサービス撤退まで至らずにすんだかも知れません

 

過去何年にも渡り多くの攻撃を受けているとは言え、22回の不正アクセス段階で不正アクセスを検知できている所から推測すると、ディノス・セシールの不正検知能力は(民間レベルでは)日本有数と言っても良いのかも知れません。

不正アクセスを1件許したという事で、このリリースが出てきた訳ですが、パスワードの使い回しは正常アクセスと区別がつきずらい事から、インシデントを追いかけている私としては、このレベルで抑えられている事は驚異的です。

これだけ検知能力が高い所が頻繁に攻撃を受けるというのは、ハッカーが攻撃手段(能力)のベンチマークとして攻撃をしている可能性が高いのではないでしょうか。

今回の攻撃は国内IPからの攻撃となっています。実際に国内に攻撃者が居たのか、それとも海外からの攻撃なのかは定かではありませんが、海外IPからの攻撃を不正検知して遮断する、という対策だけであったとすれば、22件の不正アクセス試行で済んだとは思えません。つまりディノス・セシールは海外のみならず、国内IPからの不審なログイン試行も、リスクベース的な防衛手段によって検知しているという事に他なりません。

 

この防衛に対する考え方は、過去に発生した不正ログイン事件に起因しているものと思いますが、それにしても、7Pay等、他の不正アクセス事件に比べてインシデントレスポンスに格段に優れている事は疑いようもありません。そうした意味では7Payが2段階認証を行わなくても良いと想定した「モニタリング」防衛策も、ディノス・セシールと同等なものを導入すべきだったのかも知れません。

 

セシールオンラインショップがベンチマークになっている - Fox on Security

ディノス・セシールの会員を責めない姿勢 - Fox on Security

 

 

余談です。この事件を調べていて、気になったのが、ディノス・セシールスタートアップFlattに出資をすると発表した7/11のリリースです。

ディノス・セシールが、世界水準のサイバーセキュリティ技術を誇るスタートアップ企業・Flatt へ出資 ニュースリリース| 株式会社ディノス・セシール

 

株式会社Flattは、企業等にサイバーセキュリティ関連のサービスを提供するスタートアップ企業です。同社は情報セキュリティの知識や技術を競う国内最大のハッカー大会「SECCON2018」で日本勢として初めて優勝した「東京大学理論科学グループ(TSG)」やセキュリティ・IT大手企業出身のメンバーを中心に構成されており、世界水準の非常に高い情報セキュリティ技術を保有しています。
長年通信販売事業を展開する当社にとって「個人情報保護」は、経営上の最重要課題の一つと認識しており、最新のサイバーセキュリティ情勢を注視しつつ、平時における様々なセキュリティ対策や、情報セキュリティ事故発生時の有事対応など、自社事業を運営する上での継続的な各種取り組みを実施しています。今回の出資はこれら自社領域にとどまらず、通販業界全体が抱えるセキュリティ上の課題解決や、さらには世界的レベルでのサイバーセキュリティの発展にも少なからず貢献できると考えており、また、「IoT」「5G」時代におけるサイバーセキュリティ市場の高い成長性や、Flattの優秀な人材や高い技術力等も含めて総合的に判断した結果、同社の資金調達に応じることといたしました。

当社は"老舗"通販企業でありながらも、当社事業とも将来的に連携の可能性があり、さらに社会課題解決につながるような"最先端"の事業領域に対し、今後も積極的な投資を検討してまいります

ディノス・セシールニュースリリースより引用)

 

国内の通販市場、特にカタログ販売はあまり良い業績ではない部分もある様ですが、業界をリードしていく大手企業として、このセキュリティに対する姿勢は大いに見習うべき企業が多いのではないでしょうか。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

f:id:foxcafelate:20190802201035p:plain 

 

更新履歴

  • 2019年8月3日AM(予約投稿)

KURAND CLUBのカード情報漏洩

PCI DSS クレジットカード情報漏えい事件 つぶやいてみた。

日本酒定期購入サービスを提供するKURAND CLUBからカード情報が漏洩した様です。 

www2.uccard.co.jp

 

■公式発表 リカー・イノベーションが提供する日本酒定期購入サービス「KURAND CLUB」サイトへの不正アクセスによる、お客様情報流出のお詫びとご報告

5. 原因について
Q.今回の情報漏洩が起きた原因は何ですか。
A.第三者によって、「KURAND CLUB」のシステムの一部の脆弱性を突いた第三者不正アクセスにより、ペイメントモジュールの改ざんが行われたため、外部からの不正アクセスを許してしまったことが原因です。今後はシステムセキュリティ体制を見直し、強化するなどの再発防止策を徹底してまいります。

公式FAQより引用)

 

 

◆キタきつねの所感

このサイトは、カード漏洩が怪しいなと調べていたサイトではありませんでしたが、やはり「システムメンテナンス」が長期間(不自然に)続いていた様です。

 

魚拓サイトで調べると、下記のお知らせがひっかかりました。 

f:id:foxcafelate:20190729185659p:plain

 

セキュリティコードまで取られているので、不正利用が出来てしまうカード情報が窃取された事件ではありますが、漏洩件数が23件とかなり少ないという印象です。その理由は漏洩が疑われる期間にありました。4日間だけで済んでいます。

 

(1) 流出したクレジットカード情報
  対象: 以下の期間に、当サイトにおいてクレジットカード決済を試みたお客さま
      2019年3月11日~2019年3月14日  
  項目: カード会員名、カード番号、カード有効期限およびセキュリティコード
  件数: 23件

(公式発表より引用)

 

 

データ侵害を受けるECサイトは監視体制があまり良く無い事が多く、システムに侵入された事を半年~1年も気づかない事はざらにあります。

今回の発表を見ると、ECサイトにしてはかなり早い検知だな・・・と思ったのですが、公式発表の時系列を見ると、警察庁からの連絡が驚くほど速かった様です。

 

カードの不正利用の疑いは、決済代行会社かカード会社から連絡がされる事が多いかと思いますので、別な事件で関連する情報を警察庁が得ていた、、、そんな事なのかも知れません。

 

3月14日(木)

クレジットカード情報が当サイトから流出した可能性がある旨警視庁から連絡を受け、ただちに緊急対策本部を設置しました。同日、当サイトおよび別に弊社が運営する日本酒オンラインストア「KURAND」のECサイトにおけるサービスをともに停止しました。また、原因を究明し、実態を正確に把握するために、第三者調査機関「P.C.F. FRONTEO株式会社」へ調査を依頼しました。

(公式発表より引用)

 

おそらく、フォレンジック調査会社(P.C.F. FRONTEO社)さんの助言かと思いますが、不正アクセスの原因については、他の情報漏洩事件と同じく、「システムの一部の脆弱性を突いた第三者不正アクセスとしか発表されていません。

 

こうした場合、再発防止策を見ると事件の原因が浮かび上がる事が多いので、見てみたのですが、、、正直普通の対策が書いてあるだけでした。

7.今後の再発防止策
このたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、今後二度と同様の事態を発生させることがないよう、再発防止策の構築ならびにお客様情報保護体制の一層の強化に取り組んでまいります。想定しております具体的な対策は以下のとおりです。

(1) 当サイトのサーバーの再構築。
(2) 個人情報の取得を目的とした外部からの不正アクセスに備え、サイバーセキュリティ対策を強化(防御装置(TRUSTe)の取得に向け社内整備中)
(3) 当社が運営する全てのサービスにおけるシステムセキュリティ体制を強化するとともに、運用に対するガイドラインの見直しと安全点検、監視の強化。
(4) 内部統制およびコンプライアンスの向上。

(公式発表より引用)

 

余談ですが、

気になったのが、サイバーセキュリティ対策を強化~の部分。対策としては当たり前の事が書いてあるのですが・・・

防御装置(TRUSTe)の取得に向け社内整備中

 

TRUSTeって防衛装置でしたっけ?

 

認証だった気がするのですが・・・と私がホワイトレポートを書かせて頂いたJPACさんの管轄でもあるので、調べてみると、、、

www.truste.or.jp

 

認証済の機器又はサービスを導入する事なのかな・・・と行間を読むべきなのかと思いますが、公式発表(リリース)内容について誤解の無い様な書き方が必要なのではないかと愚考します。

 

 ※8/27追記 EC-CUBE使用ver調査結果:v不明(魚拓:2019/1/14調査)

EC-CUBE利用は確認されましたが、差分情報を持ってない為、Verは不明 https://kurand.jp/shop/js/site.js 

f:id:foxcafelate:20190827181430p:plain

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

f:id:foxcafelate:20190729191025p:plain

 

更新履歴

  • 2019年8月3日AM(予約投稿)
  • 2019年8月27日PM EC-CUBEバージョン調査結果を追記