中華食材通販専門店の「本味主義」からカード情報が漏洩した可能性があるとSecurity Nextが報じていました。
www.security-next.com
同サイトを運営する友利によれば、システムの脆弱性を突く不正アクセスを受け、同サイトの顧客情報が外部に流出した可能性があることが判明したもの。
流出の可能性があるのは、2017年5月22日から2018年10月14日にかけてクレジットカード決済を利用した2926件の顧客情報。クレジットカードの番号、住所、電話番号などの送り先情報を含む。
さらにそのうち2018年9月5日から同年10月14日に決済した523件については、クレジットカードの名義や有効期限、セキュリティコードなども流出した可能性がある。
(Security Next記事より引用)
公式発表 弊社が運営する「本味主義」への不正アクセスによる個人情報流出に関するお詫びとお知らせ
◆キタきつねの所感
※非保持(周辺)が破られた事件です。実行計画2019でも注意喚起が出ましたが、同様な事件が増えていますので、非保持を実現したECサイトは要注意な事件です。
記事および公式発表を見ると、相変わらず「システムの脆弱性を突く不正アクセス」と言う分かる様な分からない様な曖昧な表現しかされていませんので、他社の参考になる点は無いのですが、記事の文面から、2段階で攻撃を受けた事が分かります。
①2017/5/22-2018/10/14にカード決済をした2926件
カード番号、住所や電話番号が漏洩している事から考えると、最初は顧客DBが襲われたのかな?と思ったのですが、それだともっと顧客の個人情報が漏洩したという発表になるはずなので、現実的ではありません。カード番号は、ECサイトで保持・通過させてしまうと非保持相当ではなくなってしまう(PCI DSS準拠が必須となる)ので、本来は無いと思うのですが、内部システムで(一時的に)カード番号を保持していた(※実装ミス?)可能性も考えられます。
②2018/9/5-218/10/14にカード決済した523件
こちらが不思議な事に、カード番号以外の決済カード情報(有効期限、セキュリティコード、カード会員名)が漏れた可能性があるとされています。
どうして2段階で攻撃を受けた(漏洩)したのか?が非常に気になりました。現在「本味主義」カード決済画面は閉鎖しているので確認できませんが、もしかすると、カード番号を入力するページと、有効期限等の入力するページが分離していたのかも知れません。
つまり
① 配送情報+カード情報 「カード番号」「住所」「電話番号」を入力
② カード情報(残り) 「有効期限」「セキュリティコード」「カード会員名」を入力
という決済ページの構造になっていたとすれば、最初に①のページに不正に外部にページ情報を送信するスクリプト(※恐らくJavascript)が仕掛けられ、2018/9/5以降には、②のページにも同じ様に外部にページ送信するスクリプトが仕掛けられたという考え方です。
とは言え、最初から①と②のページに不正送信を仕掛けておく事も出来た気がするので、この仮説もまだしっくり来ませんが、何故2段階で攻撃を受けたのか・・・他のカード情報漏えい事件と違う攻撃パターンであるが故に、気になる所です。
続報が出てくる可能性は無さそうではありますが、何か分かったら記事を更新できればと思います。
余談となりますが、「本味主義」のWebページでの事件説明は「不親切」だと思います。トップページにリンクがあるのですが、小さく下の方に『クレジットカードご利用したお客様へのお知らせ』とリンクを貼るのは如何なものかと思います。被害を受けた方でも、このリンクに気づかない方が多いのではないでしょうか?
更新履歴