非保持であろうが、クレジットカード漏えい事件は定期的に発生するもの。そう考えた方が良いのだと思います。歯科書籍の通販サイトを運営するクインテッセンス出版から個人情報・カード情報が漏えいしたと発表されました。
www.security-next.com
■公式発表 弊社運営サイトへの不正アクセス発生についてのご報告とお詫び
1)クレジットカード情報を含む個人情報(歯学書ドットコムで購買されたお客様のみ)について
2012年11月11日から2018年12月28日の間に、弊社ショッピングサイト「歯学書ドットコム」でクレジット決済をご利用されたお客様が対象です。
※歯学書ドットコム以外(日本国際歯科大会の参加登録、ワールドデンタルショーやその他の展示販売、歯科求人ドットコムでの広告掲載など)でのクレジットカード決済は対象外です。
流出件数:最大で5,689件
流出した可能性のある個人情報:クレジットカード番号、カード会員名、クレジットカード有効期限、セキュリティコード、住所、メールアドレス、電話番号、生年月日
(公式発表より引用)
◆キタきつねの所感
最近のカード漏えい事件で多かったのが、Webサイト改ざんによる、偽(クレジット情報入力)画面誘導であったのですが、この事件では少し癖が違うようです。
大量の個人情報、及びセキュリティコードが漏えいしている事から考えると、内部システム(DB)への侵入がされていると考えるのが妥当な気がします。
とあるサイトで、事件を受ける前(12月27日)のサイトと、現在のサイトを見比べてみた所、差分が分かりました。
【現在】のトップ画面
【12/27】のトップ画面
ログイン入口がトップページにあったのが、(事件を受けて)外されている様です。
この事から想像すると、情報を漏えいの主原因としては、
①(SQL)インジェクション
②ブルートフォース(総当たり)攻撃
③パスワードリスト攻撃
あたりが怪しい気がしますが、②と③は管理ログにパスワード施行(成功・失敗)のログが多量に残るでしょうし、同一IPからの攻撃であれば不自然なログの判別はしやすいかと思いますし、漏えいした個人情報がかなり広範囲(1件づつ拾うのは相当面倒)である事から考えると、おそらく違うかと思います。
侵害を受けた脆弱点について、詳細発表がされてないので推測の域を超えませんが、もし③の「インジェクション」系の攻撃を受けて、内部DBへの侵入を許したのだとすれば、Web脆弱性テスト(※PCI DSSだとASVスキャン)をやってなかった可能性が高いかと思います。(ログイン部分にサードパーティツールを使っていた場合はパッチを当ててなかった事も考えられますが・・・)
参考 SQLインジェクション対策について(IPA)
だとすれば、ほとんどのカード情報・個人情報漏えい事件の被害を受けた企業・組織と同じく「油断した」と言えるのではないでしょうか。カード情報のみならず、個人情報まで多数預かる企業は、「Webサイトは襲われる」前提でシステム構築すべきだと思います。
そうした事が出来ないのであれば、個人情報/カード情報のみならず、それらに対するセキュリティ対策も含めて、情報管理を信頼できる第三者に委託する必要があるのではないでしょうか?
ECサイトで漏えい事件が続いている状況は、ある意味ロシアンルーレットが廻っている状態で、いつ自社が影響を受けるか分からない、そんな状況にある事を多くのECサイト運営会社は気づくべきなのだと思います。
因みに、過去のWeb画面を調べていた所、クインテッセンス社は、当初は「システム障害」が長引いていると発表していました。通常メンテナンスと違い、長期間に渡り『システム障害』が続いている場合、ハッキング被害を受けて調査中である可能性が高いと言えます。この事件はまさに典型例ではないでしょうか。
更新履歴