手焼きカステラ販売のカステラ本舗異人堂の通販サイトからカード情報漏えいの発表がされていました。

www.security-next.com

公式発表

・弊社が運営する「カステラ本舗長崎異人堂」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ (魚拓）

・情報漏洩に関するご質問とご回答（魚拓）

2.個人情報漏洩状況
(1)原因
弊社が運営する「カステラ本舗長崎異人堂」のシステムの一部の脆弱性をついたこ
とによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行
われたため。
(2)個人情報漏洩の可能性があるお客様
２０１９年１１月２９日～２０２０年１１月２０日の期間中に「カステラ本舗長
崎異人堂」においてクレジットカード決済をされたお客様７０９名で、漏洩した
可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

（公式発表より引用）

キタきつねの所感

2年前に長崎に出張した時に、こちらの店舗を見かけた気がします。公式発表を見ると、約1年間侵害を受けていた様です。

2021年のカード情報漏えいインシデント発表は、手持ちの資料では既に21件となっており、去年が56件だった事を考えると、同様なペースで発表が続いている事が分かります。

現在当該サイトは閉鎖中であり、公式発表とFAQのみが公開されています。

FAQは比較的丁寧に書かれている印象ですが、事件原因については詳しく出て無かったので、いつもの様に魚拓サイトを使って侵害期間中のデータを探していきます。

AWSのデータセンターをプラスティック爆弾で攻撃する事を計画していた20代のテキサス在住の男性がFBIによって逮捕された件が報じられていました。

www.bleepingcomputer.com

1月下旬に別の情報源から見つかったFBIエージェントは、Signal暗号化メッセージングアプリを使用して、「インターネットの約70％を殺す」ために、C-4プラスチック爆薬を使用してAmazonのデータセンターを攻撃することを計画していると連絡しました。

2月、ペンドリーは、バージニア州に本拠を置くAmazonのAWSデータセンターの手作りの地図をソースと共有しました。
（中略）

ペンドリーは「供給者」に、FBI、CIA、および他の米国連邦機関によって使用されていると信じているサーバーを爆撃することを計画していると語った。彼の計画には、現在米国をリードしている「寡頭制」を取り下げることも含まれていました。

覆面捜査官のFBI職員の手が不発弾を疑う
彼は4月8日に覆面捜査官のFBI職員と会い、爆発装置であると信じているものを手に入れました。代わりに、彼は不活性な装置を受け取りました。

容疑者は、FBI捜査官を車に乗せた後、「爆発物供給業者」から武装して爆発させる方法についてのデモを受けて逮捕されました。

（Bleeping Computer記事より引用）※機械翻訳 

参考

・米国裁判所（北テキサス管区）への刑事告発文書

キタきつねの所感 

逮捕された米国人男性の言葉通りであれば、この計画が成功していれば「インターネットの約70％を停止する」被害が出ていた可能性もあったかも知れません。

とは言え、普段は秘匿にされる事が多い「データセンター」所在地が、どうして犯人には分かっていたのだろうと思い、調べてみるとWikiLeaksが親切・丁寧に全世界のAmazon データセンター位置（地図）を公開しています。

※内部からの情報漏えいや、断片的な情報を繋ぎ合わせて情報を推測する「OSINT」や「モザイクアプローチ」で場所を特定されるのであれば仕方が無い面もあるかと思いますが、WikiLeaksのこうした何でも開示（リーク）する姿勢は、私は間違っている気がします。

米国東海岸のAWSデータセンターについてみてみると、米国の拠点は、東海岸側がバージニア州、西海岸側が北カリフォルニア州（サンフランシスコ近郊）、ワシントン州（シアトル近郊）、オレゴン州に固まっているのがよく分かります。

今回の攻撃対象と目されていたバージニア州のデータセンターは、こんな感じで分布している様です。ある程度固まって設置されているとは言え、「インターネットの約70％を停止する」為には、連続”テロ”が必要そう（＝かなりハードルが高い様）に思えます。

犯人は、C-4プラスティック爆弾を入手する事を試み、FBIが事前に情報を察知し、C-7爆弾の販売業者を装った、おとり捜査官に逮捕されているのですが、刑事告発文書を見ると、爆発装置（ダミー）をFBI捜査官に渡されて、起爆方法の説明を受けた（テロ実行の意思が確認された）後に捕まった様です。

Facebookの次はLinkedInの様です。人気のハッカーフォーラムで新たな5億件の漏えいデータの販売が開始されたと報じられています。

cybernews.com

 5億のLinkedInプロファイルからスクレイピングされたとされるデータを含むアーカイブが人気のハッカーフォーラムで売りに出され、投稿者によって概念実証サンプルとしてさらに200万のレコードがリークされました。

（Cybernews.com記事より引用）※機械翻訳

キタきつねの所感 

Facebookが2019年の脆弱性で約5.3億件のデータ漏えいが大きな騒ぎとなっていますが、今回のLinkedInの販売データは約5億件と言われています。

同等クラスのデータ漏えいなのかと考える方も多いかと思いますが、実はユーザ数が違うので、もしこの漏えいが事実であればですが、LinkedInはFacebookの漏えい事件より被害が深刻と言えるかも知れません。

Social Media Labのデータ（2021/4）では、Facebookの全世界月間アクティブユーザは約23.8億人（国内月間アクティブユーザが約2,600万人）に対して、LinkedInの登録ユーザ数は約7.4億人（国内登録ユーザは約200万人）と分析されています。

gaiax-socialmedialab.jp

この数字を元に考えると、Facebookの約5.3億人はアクティブユーザの約22％であるのに対して、LinkedInの約5億人は登録ユーザの約68％にも上ります。言い方を変えれば、3割しか”無事ではない”訳ですから、いかに今回のデータ漏えいが（もし事実であれば）問題であるかが分かるのではないでしょうか。

昭和27年創業で東海圏を中心に26店舗を展開する大型釣り具専門店のイシグロのECショップからカード情報が漏えいした可能性があると発表されていました。

www2.uccard.co.jp

公式発表

・弊社が運営する「イシグロオンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ

 2.個人情報漏洩状況

(1)原因
弊社が運営する「イシグロオンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様
2020年5月27日～2020年10月22日の期間中に「イシグロオンラインショップ」においてクレジットカード決済をされたお客様最大3,171名で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

（公式発表より引用）

キタきつねの所感 

本朝は、昨日話題になっていたTrelloの漏えい情報を調べてネットで話題になっていた”漏えい”証跡が結構収集できたのですが、個人情報や機微な情報の取扱いに時間がかかりそうでしたので、読者の方も「飽きた」とは思いますが、またカード情報漏えいの発表が出ていましたので、こちらを取り上げます。

※余談ですが、Trelloの件は公開設定不備、つまり「意図しない情報公開」が原因であり、Amazon S3やSales forceで一時期漏えい被害が続いた件と構図はほぼ同じです。個人情報公開が大好きのノーガード戦法の方々は別にして、Trelloは法人利用の有償オプションもあったはずなので、ここで携帯電話に対するMDMの様に、強制的に非公開設定を共用する（又は意図せぬ公開が無いかを確認できる）オプションを提供すべきだったのではないかと思います。

本題に戻ります。ここ1-2週間カード情報漏えいの記事が多いのが大変残念なのですが、インシデント発表件数が減少傾向になかなかなりません。

下図の7-8割の件数はEC-CUBE利用サイトですが、昨日記事の「せんたく便」や本日の「イシグロオンラインショップ」は別なCMS（又は独自開発）です。

※4/7 PM tikeさんから記事内容の間違い指摘を受け、以下大幅に内容を修正します。（Wayback machine付与のコードを勘違いしておりました。申し訳ありません。）

「イシグロオンラインショップ」を調べていくと、EC-CUBEの特徴は無く、CMSは何を使っているのだろうと思って色々調べてみたのですが、どうやらSiTEMANAGEを使っていた様です。