またカード情報の漏えいが報じられていました。
www.security-next.com
同サイトを運営するレジナによると、5月16日にウェブサイトが改ざんされたもの。販売管理システムの脆弱性を突かれたものと見られ、同日から12月11日にかけて同サイトの入力フォームに入力されたクレジットカード情報が本来の処理とは異なる外部サイトへ送信されていた。
クレジットカードの名義、番号、有効期限、セキュリティコードなど、クレジットカード決済が成立した247件が流出した可能性があるほか、決済まで至らなかった場合もクレジットカードを入力した場合は流出した可能性があるという。
(Security Next記事より引用)
■公式発表 「エコレオンラインショップ」に対する不正アクセスによる情報流出懸念のお知らせ
◆キタきつねの所感
記事を書いてる時点で、まだ記事にできていないJR九州「ななつ星」のカード情報漏えい事件が報じられています。そう考えると調査中の事件も含めて、相当数のEC(カード情報非保持)サイトがWeb脆弱性を突かれた攻撃を受けている可能性があるのかもしれません。
公式発表を見ると、あまり普段見ない表現が書かれています。
2.第三者調査機関による調査結果
2018 年5 月16 日に攻撃者が、データベースへ不正な仕掛けをページ内に埋め込んだとみられます。
その仕掛けは、ページ内の入力フォームに入力されたカード会員情報を正規の処理とは別に外部サイトへ転送する機能を持っていた為、2018年5月16日以降当該サイトのカード利用者のカード会員情報が搾取されていたと考えられる、との事でした。
攻撃者によって販売管理システムの脆弱性を突かれた事による不正アクセスの可能性が高い為、2018年12月26日にバージョンアップを図り、OS最新化とセキュリティチェック結果に対する修正を行った結果、サイトの脆弱性は認められませんでした。
(公式発表より引用)
この表現から推測できるのは、販売管理システム(ECサイト用のプラットフォーム)のパッチ当てが出来てなかった事でないかと思います。パッチ当て(バージョンアップ)の後に、OS最新化とありますので、古いOSを使ったシステムを構築していて、(最新パッチを当てられずに)既知の脆弱性を突かれたと考えられそうです。
OS、あるいはソフトウェアの重要ファイル更新については、例えばPCI DSSでは1か月以内のインストールを要求しています。これは販売管理システムでも同様です。
6.2 すべてのシステムコンポーネントとソフトウェアに、ベンダ提供のセキュリティパッチがインストールされ、既知の脆弱性から保護されている。重要なセキュリティパッチは、リリース後 1 カ月以内にインストールする。
ECサイト構築・販売支援のパッケージを使うのは今や当たり前ではあります。しかし、こうした基幹システムを改ざん、あるいは管理者権限を奪取されてしまうと大きな事故につながる可能性がある訳ですから、パッケージソフトの脆弱性(最新パッチ)については、細心の注意を払い、早期にパッチを当てていく体制を強化すべきなのではないでしょうか。併せて、定期的な脆弱性診断の実施も、カード情報非保持のWebサイトであっても考えるべきかと思います。
公式発表を見ると、不正なコードを仕掛けられたのは去年の5月16日、委託先のシステム運営会社が事件に気づいたのは12月11日、つまり7か月弱の間、ハッカーを検知できてなかった事になります。カード情報非保持だから追加対策はしなくても良い・・ではなく、PCI準拠で重要と定義されている定期的なシステムチェック(一般的なセキュリティ対策)を行う事が重要なのかと思います。
今回の事件でのカード情報漏えい件数は(現在までの所)247件と7か月の侵害があった割には、比較的小規模と言えるかもしれません。しかし、フォレンジック調査やその後の対策などを考えると数百万では済まない費用を払う事となる可能性が高いかと思います。インシデントが発生した際の高い授業料、社会的評判を考えれば、定期的なシステムチェックの費用などは安いものだと思うのですが・・・。
更新履歴
