アパレル副資材の卸販売を行うオークラ商事の子会社が運営する、サプライヤー向けのBtoBプラットフォームサービスApparelXが不正アクセスを受けカード情報を漏えいした可能性があると発表していました。

www2.uccard.co.jp

公式発表

・弊社サイトへの不正アクセスによるクレジットカード情報漏えいに関するお詫びとお知らせ （魚拓）

2. 個人情報漏洩状況

(1)原因

　弊社が運営する「ApparelX」のファイルアップロードプログラムの脆弱性をついたことによる第三者の不正アクセスにより、決済ページの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

　2020年11月27日～2020年12月9日の期間中に「ApparelX」においてクレジットカード決済をされたお客様195名で、漏洩した可能性のある情報は以下のとおりです。

　　・クレジットカード番号

　　・有効期限

　　・セキュリティコード

※上記のクレジットカード情報とともに、当該注文の出荷先名、出荷先Eメールアドレス、出荷先住所、出荷先電話番号も漏洩した可能性がございます。

（公式発表より引用）

キタきつねの所感

生地、ボタン、裏地、ファスナー等のアパレル副資材を取り扱うApparelXは、アカウント登録6,000社、サイトでの注文件数（商談成立）が1万件を超えているアパレル資材のBtoBサイトです。

昨日3/29はこのインシデント以外に2件、つまり合計3件のカード情報漏えいが発表されており、3月だけで9件の発表となっています。大手ECサイトが侵害を受けた訳ではないので、カード情報漏えい件数の総計はそう多くはありませんが、ECサイトの脆弱性が狙われ続けている、件数ベースではそうした傾向が伺えます。

健康食品などを扱う宝仙堂のECサイトが不正アクセスを受け、カード情報や個人情報が流出した可能性があると報じられていました。

www.security-next.com

公式発表

・弊社が運営するショッピングサイト「すっぽんコラーゲン」「宝仙堂パワーライフ」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ

1.経緯

2020年9月14日、弊社サイトへのアクセス障害およびサーバー障害を確認し調査を開始、その中で弊社がシステムの管理、運営業務を委託する企業より個人情報の収められたファイルの削除・流出の懸念について連絡を受け、2020年9月16日弊社が運営する「すっぽんコラーゲン」「宝仙堂パワーライフ」へのアクセスを制限、カード決済を停止いたしました。

（中略）

2.個人情報流出状況

（1）原因

弊社が運営する「すっぽんコラーゲン」「宝仙堂パワーライフ」のシステムに対しての第三者の不正アクセス。

（2）個人情報流出の可能性があるお客様

【クレジット決済をご利用の方】
2019年6月15日～2019年10月26日の期間中に「宝仙堂すっぽんコラーゲン」においてクレジットカード決済をされたお客様4名、および2014年9月19日～2017年11月9日の期間中に「宝仙堂パワーライフ」においてクレジットカード決済をされたお客様73名で、流出した可能性のある情報は以下の通りです。

・住所
・電話番号
・Ｅメールアドレス
・生年月日
・クレジットカード情報（カード名義人名、クレジットカード番号、有効期限）

上記に該当する77名のお客様については別途、電子メールおよび書状にて、個別にご連絡申し上げます。

【その他の決済方法をご利用の方】
2019年6月15日～2019年10月26日の期間中に「宝仙堂すっぽんコラーゲン」をご利用されたお客様11名、および2014年9月19日～2017年11月9日の期間中に「宝仙堂パワーライフ」をされたお客様155名で、流出した可能性のある情報は以下の通りです。

・住所
・電話番号
・Ｅメールアドレス
・生年月日

（公式発表より引用）

キタきつねの所感

すっぽん製品やフローラゼリー、漢方薬等、健康東健康食品などを扱う宝仙堂のECサイトが不正アクセスを受け、カード情報や個人情報が流出した可能性があると報じれれていました。昨日の記事でも触れましたが、ここ最近カード流出インシデント発表が続いている気がします。

公式発表からまず読み取れたのが、改正割賦販売法（クレジットカード・セキュリティガイドライン）違反の可能性です。

「宝仙堂パワーライフ」のサイトから2014年～2017年のカード情報が漏えいしたという事は、”カード情報非保持化”が出来てなかったという事を示唆しています。

※攻撃者（ハッカー）が2014年当時から侵入していた可能性も（わずかに）考えられなくもありませんが、公式発表の暴動（1．経緯）に「ファイル削除・流出」と書かれている事から、変な所（ログでしょうか・・・）にカード情報が残っていた可能性を強く感じます。

※ECサイト側に保存していたカード情報は全て、少なくても割賦割賦販売法施行前（2018年6月1日前）に削除してないと「カード情報非保持」とはなりません。

現在の宝仙堂のトップページ右上にはOnline Shopの入口があったのでこちらが侵害を受けたのだと思って、 調べ始めたのですが、こちら（の旧サイト）では無かった様です。

※現在Online Shopがリニューアルされていたので、こちらに商品を集約する様です。

魚拓データで調べてみると、2019年7月31日のデータがあったのでこちらから辿っていくと、公式発表に侵害を受けたと発表があった「すっぽんコラーゲン」と「宝仙堂パラーライフ」のリンクがあり、どうやら今回侵害を受けたのはこちらの様です。

※ドメインは別々です

年々新たな手口が生まれ、高度化するサイバー攻撃を守る側の企業は、IT人材のスキルギャップに苦しんでいるという英国のデータが取り上げられていました。

www.infosecurity-magazine.com

国内の約68万の企業に、サイバーセキュリティを担当するスタッフがいて、政府のベストプラクティスであるCyber​​Essentialsフレームワークに配置された基本的なタスクを実行する自信がないことが明らかになりました。これには、個人データの保存または転送、構成されたファイアウォールの設定、マルウェアの検出と削除が含まれます。

3分の1（33％）は、侵入テスト、フォレンジック分析、セキュリティアーキテクチャなど、より高度なスキルのギャップを報告しましたが、同様の数（32％）は、インシデント対応にギャップがあり、機能をアウトソーシングしていません。

（Infosecurity Magazine記事より引用）※機械翻訳

キタきつねの所感

元ソースは、3/23に公開された以下の「Cyber Security Skills in the UK Labour Market 2021（英国の労働市場におけるサイバーセキュリティスキル2021）」の様です。

www.gov.uk

このレポートがユニークだと思う点が、企業側だけでなく、求人情報の分析や人材派遣会社の調査情報なども加味されている点です。こうした調査は日本でも実施してみると良いとは思う反面、怖くて一般公開できない（1人情シス等々の現実的な）データが出てきてしまう気もします。

英国のデータが必ずしも日本企業・組織に当てはまる訳ではないとは思いますが、個人情報の保護、FW設定やマルウェア検出・削除に「あまり自身が無い」「自信が無い」と回答する企業（担当）が3割程度という結果を見ると、さて日本は・・・と考えてしまいます。

サイバー攻撃に対する防衛では、セキュリティ対応では更に高度な、侵入テスト、フォレンジック分析、セキュリティ体制の再構築といった機能も必要となってきていますが、こうした機能が自社にあるのは3～4割程度。脅威分析やユーザ監視で半分をようやく超える程度というのが（英国企業の）現状の様です。

こうした不足しているスキルをカバーする為に、その役割をアウトソーシングする事も企業や組織の選択肢の１つですが、データで見る限り、アウトソーシングをしている所は少ない様です。

そう考えると企業の方向性としては、（人員の内部育成あるいは）外部から中途で人員を採用する事で不足するサイバースキルを埋める事を考えるかと思いますが、中途採用にも課題がある様です。

エネルギー大手のシェル（RoyalDutch Shell）もAccellionのファイル共有サービス経由でデータ侵害を受けたと発表されていました。

securityaffairs.co

公式発表（Shell）3/18

・THIRD-PARTY CYBER SECURITY INCIDENT IMPACTS SHELL

Shellは、Accellionのファイル転送アプライアンスに関連するデータセキュリティインシデントの影響を受けています。シェルはこのアプライアンスを使用して、大きなデータファイルを安全に転送します。

シェルはインシデントを知ると、サービスプロバイダーとサイバーセキュリティチームと一緒に脆弱性に対処し、インシデントの性質と範囲をよりよく理解するための調査を開始しました。ファイル転送サービスはシェルの他のデジタルインフラストラクチャから分離されているため、シェルのコアITシステムに影響を与える証拠はありません。
進行中の調査によると、許可されていない当事者が限られた時間内にさまざまなファイルにアクセスしたことがわかっています。一部には個人データが含まれ、その他にはシェル会社とその利害関係者からのデータが含まれていました。シェルは影響を受ける個人や利害関係者と連絡を取り、起こりうるリスクに対処するために彼らと協力しています。また、関連する規制当局や当局とも連絡を取り合っており、調査が進むにつれて連絡を取り続けます。

（公式発表より引用）※機械翻訳

キタきつねの所感

Security Affairが記事として取り上げていたので3/18の発表に気づきましたが、日本でも名が知れたエネルギー大手シェルへのサイバー攻撃は日本ではまだ報じられていない様です。

国内セキュリティ関係の記事はLINE問題一色かと思いますので、本日はこちらのインシデントを取り上げたいと思います。

※尚、LINE問題は某所から調査依頼が入ったので色々と調べておりますが、クライアントとの関係があるので恐らく分析内容は（当面）ブログには書かないと思います。

※（いないとは思いますが）分析情報を知りたい方、又は情報交換をされたい方は(foxcafelate[＠]gmail.com)までお問い合わせください。

Accellion問題は、マイクロソフトExchangeサーバや、SolarWinds、（国内だとSalesforce設定ミス）などの問題に押されて”終わった感”がありますが、シンガポール通信大手のSingtelや、航空機のボンバルディア、ＮＷ診断のQualys等、名が知れた海外企業が被害を受けており、一部日本企業も（漏えいデータがサンプル開示）巻き込まれています。

今年4月末でサービス終了する古いファイル交換サービスの脆弱性を突かれ、昨年12月以降複数のゼロディとWebシェルを組み合わせた攻撃を受けて被害を受ける企業が出ています。20年以上継続するサービスだったが故に、利用ユーザ企業は多かったとも言えますが、新サービスに乗り遅れたユーザが狙い撃ちにされた（ている）様です。

このAccellion FTA関係では、ランサムオペレータのCL0P（Fin11/UNC2546）がリークサイトに情報を突然乗せる事が多いのですが、Twitter等でリークサイトの状況を見た限りですが、Shellの名前は（まだ）出てない様です。