ITmediaの1月22日記事に、中国の須磨ーふとフォンベンダーであるOnePlusのオンラインストアからクレジットカード情報4万件が不正スクリプト被害により流出した可能性があるとの内容がありました。
www.itmedia.co.jp
インシデントタイムライン
| 日時 |
出来事 |
2017年11月中旬~
2018年1月11日 |
ハッカーが不正スクリプトを決済ページにインジェクションしクレジットカード4万件が不正に転送されていた |
| 2018年1月11日 |
OnePlusのユーザForumに11月にカードを使ったユーザ2名がクレジットカード不正があった旨を投稿。同様なユーザが多数いる事が発覚する |
| 2018年1月16日 |
ForumにてOnePlusが調査中である旨を投稿 |
| 2018年1月19日 |
最大4万人のクレジットカード情報漏えい事件が発生した旨をOnePlusが公表
侵害を受けた可能性があるユーザ向けにメールを送信 |
■公式発表(ユーザForum)
forums.oneplus.net
■被害を受けたユーザ宛のメール内容
事件の状況
- 2017年11月中旬~2018年1月11日までOnePlusサイトでクレジットカード購入したユーザ情報、最大4万件が漏えい
- 漏えいした情報は
クレジットカード情報(カード番号、有効期限、セキュリティコード)
※PayPal決済のユーザは影響無い
原因
- システムの1台が攻撃を受け、決済ページに不正スクリプトを挿入され、ユーザのブラウザから直接キャプチャーされた情報を転送された
再発防止策
- 侵害を受けたサーバを隔離し、関連システム全てを強化
◆キタきつねの所感
既にITmediaさんが詳しい記事を書いているので、この事件を取り上げるかどうか迷ったのですが、ユーザForumに気になる内容があったので、改めてまとめてみました。OnePlusが以前「Magento」を使ってていたので、その決済モジュールバグを突かれたのではないかと言う海外記事が当初多かったのですが、1月19日のOnePlus側の投稿を見ると、2014年まではMagentoを使っていたが現在は独自でサイト構築をしている様です。
では何が気になったかですが、、、
- Is my credit card info stored on oneplus.net?
No. Your card info is never processed or saved on our website - it is sent directly to our PCI-DSS-compliant payment processing partner over an encrypted connection, and processed on their secure servers.
OnePlusはPCI DSS準拠済みの決済代行会社(PSP)に情報を直接渡しており、自社サーバにカード情報を残して無かったという所です。現在日本でも”実行計画”の下に多くの加盟店がカード情報非保持、またはPCI DSS準拠に向けて対応を進めていますが、このOneplusの置かれていた状況は(実行計画=日本独自ルールにおける)カード情報非保持であったと推測されます。にもかかわらずカード情報を流出したという事は、日本においても、Webサイトの改ざん対策まで行っていなければ、カード情報非保持の加盟店であっても、近い将来似た様な事件を起こしてしまう可能性があるという事を意味するのです。
日本の多くの加盟店は『とりあえず非保持にしておけば十分』という動きをしていますが、不正スクリプトを仮に仕掛けられたとすると、その部分は決済代行会社(PSP)サービスの範疇外となるかと思われます。そうした意味においては、セキュリティ対策は自社の責任という原則に則って「業者に全てお任せ」ではない考え方を持つ事が必要かも知れません。
更新履歴