宅配クリーニング大手のせんたく便のシステムが不正アクセスを受けてカード情報を漏えいした可能性があると発表しました。

www.jreast.co.jp

公式発表

【せんたく便／ヨシハラシステムズ】

・弊社が運営する「せんたく便」への不正アクセスによる個人情報流出に関するお詫びとお知らせ

【マイスターせんたく便／白永舎】

・個人情報漏洩についてのお詫びとご報告について 

キタきつねの所感

ヨシハラの「せんたく便」と言えば宅配クリーニングの先駆者とも言えるサービスで、2009年からサービスを開始し、宅配便だけでなく、コンビニ等からもクリーニングを依頼できる様になっています。

2015年にはせんたく便の会員は15万人を超え、自社で蓄積したノウハウを元に「宅配クリーニングCloud」を展開し、自社だけでなく他社にもAPI連携のプラットフォームを提供しています。

※今回同じく不正アクセス被害を受けた白永舎はヨシハラの宅配クリーニングCloudを利用していた様です。

事件を受けての公式発表を見ると、詳細手口は分からない事が多いものの、侵害につながった脆弱点が浮かび上がってくる事が多いのですが、今回は「読んでいて矛盾を感じる」内容でした。

ヨシハラ（システムズ）の発表内容を見ていきます。

漏えい件数が約5.9万件は、最近（2019～2021年）の国内カード情報インシデントでは、2020年12月のLDH（約4.5万件）を超え、2019年10月のJIMOS（約10.8万件）に次ぐ2位の漏えい件数となります。

2.個人情報流出状況
(1)原因
　第三者によって「せんたく便」に不正アクセスされ、クレジット情報が流出したため
(2)個人情報流出の可能性があるお客様
　2020年11月16日までの期間中に「せんたく便」において、新規にクレジットカード情報を会員登録いただいたお客様、又は既に会員登録により登録済みのクレジットカード番号を変更されたお客様及び旧システムからの移行データ58813名の以下のクレジットカード情報。
お客様の利用日につきまして開始日は不明（システム改修のため）ですが、該当会員様は特定できており個別にご案内いたします。

【流出した可能性のあるクレジットカード情報】
・クレジットカード名義人 ・クレジットカード番号 ・有効期限

上記に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。
なお、第三者調査機関によるログファイル等の調査の結果、個人情報が格納されたサーバが不正アクセスを受けたことは明らかになったものの、漏洩の件数は特定できませんでした。

（ヨシハラ公式発表より引用）

気になるのが、「2020年11月16日までの期間中」という表現。始まりを書かないのに、期間が分かる訳がありません。ヨシハラは2009年からサービスを開始しているので、この表現だと10年以上が対象期間となる事も想像できますが、会員が15万人以上である事を考えると矛盾があります。

次に気になったのが、漏えいしたカード情報の内容です。セキュリティコードは無いものの、カード名義人名、カード番号、有効期限が漏えい対象とされています。

魚拓サイトを使って2020年2月7日のデータを確認してみると、会員登録画面では上記の３つの入力が求められていました。

米国の有名大学が次々とAccellion FTA経由の侵害により重要情報を窃取された事を発表していますが、最新の被害者は日本でもよく名前が知られた名門UCLA（カリフォルニア大学ロサンゼルス校）だった様です。

ktla.com

公式発表（UCLA）

・Update on Accellion data breach and what you should do to protect yourself (4/2)

・UC part of nationwide cyber attack (3/31)

UCは、全国の他の大学、政府機関、および民間企業とともに、最近サイバーセキュリティ攻撃を受けていることを知りました。この攻撃には、安全なファイル転送のために多くの組織で使用されているベンダーであるAccellionの使用が含まれます。このベンダーでは、許可されていない個人がAccellionのファイル転送サービスの脆弱性を悪用してUCファイルをコピーおよび転送したようです。

キタきつねの所感

Accellion FTA経由で侵害を受けたと確認されているのは、ニュージーランド準備銀行、Singtel、Fugro、Danaher,Jones Day、オーストラリア証券取引委員会、ボンバルディア、Kroger、Seteris、Qualys、Shell等ですが、ランサムオペレータCL0P（Fin11/UNC2546）のリークサイトに立て続けに米国の著名大学が掲載されています。

※以下TwitterでのCl0pリークサイトの投稿を引用します。

What do the universities of California, Maryland, Miami, Colorado-Boulder, Stanford and Yeshiva all have in common? They all were hit by #CL0P #ransomware this week and have data being leaked.
But what ELSE did they have in common, does anyone know? pic.twitter.com/YLZ3UcKyTM

— GarWarner (@GarWarner) 2021年4月2日

リークリストに名前が確認できるのが、コロラド大学（COLORADO.EDU）、マイアミ大学（MAIAMI.EDU）、イェシーバー大学（YU.EDU）、メリーランド大学（UMD.EDU）、UCLA（UNIVERSITYOFCALIFORNIA.ECU）、スタンフォード大学（STANFORD.EDU）ですが、いずれも名が知れた大学です。

余談となりますが、このリストの最後にある「NIPRO.COM」は日本の医療機器メーカーニプロの海外子会社、ニプロメディカルの様ですが、まだ公式リリースは出てない様です。※詳細調査する時間が取れたら別記事を書くかも知れません

nipro.com

乳酸菌等の健康食品の通販を行っている健康いきいき倶楽部のECサイトが不正アクセスを受け、カード情報を漏えいした疑いがあると発表していました。

www2.uccard.co.jp

公式発表

・弊社が運営する「健康いきいき倶楽部 公式通販サイト」への不正アクセスによる個人情報流出に関するお詫びとお知らせ (魚拓）

2.　個人情報流出状況
　(1)原因
　　　弊社が運営する「健康いきいき倶楽部 公式通販サイト」のシステムの一部の脆弱性をついた第三者の不正アクセスによりプログラムの改ざんが行われたため。

　(2)個人情報流出の可能性があるお客様
　　　2019年12月14日～2020年12月4日の期間中に「健康いきいき倶楽部 公式通販サイト」においてクレジットカード決済をされたお客様3,308件で、流出した可能性のある情報は以下のとおりです。

　・クレジットカード名義人名
　・クレジットカード番号
　・有効期限
　・セキュリティコード

（公式発表より引用）

キタきつねの所感

3月29日にカード情報漏えいを発表したのが3件ありますが、先日記事を書いたApparelX、ケンコーオンラインショッピングに続き3件目の記事となります。

余談となりますが、今回の公式発表の下の方にFAQがついており（あやうく見落とす所でした）カード情報が漏えいした可能性がある顧客向けに、丁寧な説明がされていました。

 これを見ると、公式発表にある「システムの一部の脆弱性をついた第三者の不正アクセスによりプログラムの改ざんが行われたため」の内容が、カード情報を登録（変更）するページにスキマー（入力情報を盗む不正コード＝JavaScript）が仕掛けられた手口であると推測されます。

侵害を受けたサイトを見てみると、TVで私も見た事がある気がします。カード決済は止められていますが、サイトは活きている様です。

カード決済についても、きちんと（停止中の）説明があります。

※以前に記事でも書きましたが、一定期間以上「クレジットカード利用が停止」になっているECサイトは、公式発表が無くても、侵害を受けた（ている）可能性があります。

こちらのトップページのソースコードを確認してみます。

ストーマ用品等を取り扱うケンコーのECサイトからカード情報が漏えいした可能性があると発表されていました。

www2.uccard.co.jp

公式発表

・弊社が運営する「ケンコーオンラインショッピング」への不正アクセスによる
クレジットカード情報漏えいに関するお詫びとお知らせ (魚拓）

(1)原因
弊社が運営する「ケンコーオンラインショッピング」のシステムの一部が第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたためと、調査機関により判断されました。
(2)個人情報漏洩内容
2019 年 9 月 14 日～2020 年 10 月 23 日の期間中に「ケンコーオンラインショッピング」においてクレジットカード決済をされたお客様 152 件で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

（公式発表より引用）

キタきつねの所感

3月29日にカード情報漏えいを発表したのが3件ありますが、昨日のApparelXの記事に続き、2件目の記事となります。

※昨日も書きましたが、1か月で9件発表は多い（インシデントが減ってない）気がします。

現在はカード決済を停止している様ですが、サイトは活きている様に思えたので、侵害を受けたサイトを確認してみると、閉鎖をしなかった影響か少しサイト（サイト）の整合性が崩れている様です。

（本題とは関係が無い部分ですが）少し気になったのが、カード決済を停止していて、カードブランドのロゴを表示している点でしたが、公式発表でも”停止”としていたので単に表示残りだけではあると思いますが。

同じ部分で調べてみると、「マイページ」や「新規会員登録」からの遷移画面が出てこないので半閉鎖中の様な状況なのかも知れません。

とは言え、サイトは稼働していたので、トップページのソースコードを確認してみました。