またカード情報非保持のサイトがカード情報を漏えいした事件が出ていました。
scan.netsecurity.ne.jp
株式会社B.F.Yokohamaは2月12日、同社が運営するうさぎ雑貨や飼育用品を扱う「バニーファミリー横浜ネットショップ」にて外部からの不正アクセスがあり一部の顧客のクレジットカード情報が流出した可能性が判明したと発表した。
これは顧客からクレジットカード決済不具合の問い合わせがあり調査を行ったところ、2018年9月28日に不正ファイルが埋め込まれたことが発覚し不正ファイルを削除したが、その後一部のクレジットカード会社から、同サイトを利用した顧客のカード情報の流出懸念について連絡を受け、2018年10月25日に同サイトでのカード決済を停止したというもの。
(ScanNetSecurity記事より引用)
◆キタきつねの所感
非保持(周辺)を攻められた事件がまた出てきました。今回の事件はカード情報漏えい件数としては241件(セキュリティコード含む)ですので、とりたてて大きな事件ではありません。
被害を受けたECサイトも、うさぎを販売する小規模なサイトであり、「うさぎの魅力」を伝えるといったお店のコンセプトから、何故この規模のECサイトが・・・という感が否めません。
とは言え、攻撃側からすればECサイトでクレジット情報があるとなれば、攻撃が成功している手法でとりあえず攻撃してみる、そんな対象の1つでしかないのだ言うのが改めて分かります。
今回の攻撃手法は、今治タオルのECサイトが攻撃された手法とまったく同じです。その手口がはっきり分かる詳細な「サイト改ざん内容」が別紙掲載されていましたので引用しますと、
偽ページに最初に誘導してクレジットカード情報を入力(窃取)させた後に、今度は正規の画面に誘導してもう一度クレジットカード情報を入力させます。2度入力する部分に不自然さが残るのですが、そのまま2回入れた顧客は、2回目の入力で取引が正常終了し、商品は届くのでクレジットカード情報が盗まれた事に気づきずらくなります。
文字にするとうまく説明が出来ているかわかりませんので、図にすると(ざっくりですが)こんな感じです。
まずは正規のページ(①)が書き換えられて、不正ページ(②)への誘導、その後③に戻す様に仕込まれます。また②で不正に窃取した情報を、不正に外に転送する様にも改ざんしているかと思います。(あるいは他の事件ではECサイトのサーバに不正に貯めておくケースもありましたが)
私が知る限りにおいて、国内でカード情報非保持のECサイトからクレジットカード情報が漏洩したのは、少なくても8件あります。全て同じ攻撃という訳ではありませんが、今回の手法と同じケースが増えてきています。
日時 |
出来事 |
2019/2/18 |
■バニーファミリー横浜(241件) 2018/9/28 顧客問い合わせで不正ファイルを検知 決済代行会社より連絡を受ける 2018/10/25 カード決済を停止 2018/6/28-10/25のカード決済情報が対象 |
2019/2/1 |
■ドラッグイレブン(458件) 2018/11/8 顧客問い合わせで個人情報漏えいが発覚 2019/2/1 カード情報も漏洩していた事が判明 2016/4/12~2018/11/8のカード決済情報が対象 |
2018/12/25 |
■Dlmarket(7,741件) 2018/11/12に決済代行会社より連絡を受ける 2018/10/17-11/12のカード決済情報が対象 |
2018/12/20 |
■ウェストオンライン通販サイト(668件) 2018/9/12に不正画面が設置(ページ改ざん) 2018/9/12-11/2のカード決済情報が対象 |
2018/12/7 |
■エデイットモード(2,169件) 2018/7/11に決済代行会社より連絡を受ける 2018/3/7-7/11のカード決済情報が対象 |
2018/11/27 |
■ZOWHOW(397件) 2018/7/18に決済代行会社より連絡を受ける 2018/4/25-7/18のカード決済情報が対象 |
2018/10/24 |
■伊織ネットショップ(2,145件) 2018/8/22に不正アクセスを確認 2018/5/8-8/22のカード決済情報が対象 |
2018/10/9 |
■SOKAオンラインストア(2,481件) 2018/7/30に不正ファイル混入(ページ改ざん) 2018/7/30-8/24のカード決済情報が対象 |
Web改ざんに脆弱性を持つだろうECサイトは、まだまだ多いかと思いますので、現在調査中(表に出てきてない)の事件以外にも、今後も同じような漏洩事件が続くのではないかと懸念します。
また、今回の件で気になる時系列があります。
これは顧客からクレジットカード決済不具合の問い合わせがあり調査を行ったところ、2018年9月28日に不正ファイルが埋め込まれたことが発覚し不正ファイルを削除したが、その後一部のクレジットカード会社から、同サイトを利用した顧客のカード情報の流出懸念について連絡を受け、2018年10月25日に同サイトでのカード決済を停止したというもの。
(中略)
漏えいの対象となるのは、2018年6月28日から2018年10月25日の期間に「バニーファミリー横浜通販サイト」にてカード決済を行った顧客241件・・・
(ScanNetSecurity記事より引用)
9/28に怪しい動作にECサイト側は気づいていますが、不正ファイルを消しただけで(終了)再開している点です。結果として、10/25までの1ヶ月間カード情報が漏洩しています。
悪い言い方をすれば、(フォレンジック調査せずに)事件を隠蔽したと言えますし、善意的に捉えれば(フォレンジックを実施すべき)ルールを知らなかったともいえます。
中小のECサイトで同じようなところが今後も出てきてしまうのではないでしょうか。そうした意味において、カード会社や決済代行会社の指導力(啓蒙)が試されていると言えるかも知れません。
参考:伊織のサイト改ざん内容(同じ手法であるのがよく分かります)
タオル専門店 伊織のカード情報漏えい事件について - Fox on Security
※8/27追記 EC-CUBE使用ver調査結果:v不明 (魚拓:2018/8/17調査)
https://www.bunnyfa-yokohama.com/shop/js/css.js
EC-CUBE利用は確認されましたが、差分情報を持ってない為、Verは不明
更新履歴
- 2019年2月19日PM(予約投稿)
- 2019年8月27日PM EC-CUBEバージョン調査結果を追記