Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ベルアメールのカード情報漏えい

チョコレートの様に非保持は甘くは無かったようです。またカード情報非保持のECサイトからクレジットカード情報が漏えいした様です。

www2.uccard.co.jp

 

■公式発表 「ショコラ ベルアメール」のオンラインショップへの不正アクセスによる個人情報流出に関するお詫びとお知らせ

 

◆キタきつねの所感

また漏えい事件が発生していた様です。正直、今後も被害を受けるECサイトは毎月定期的に出てきてしまうのではないかなと思います。

(1)原因
 弊社が運営する「ショコラ ベルアメール」のオンラインショップのシステムの一部のセキュリティの脆弱性をついたことによる外部の第三者不正アクセス
(2)個人情報流出の可能性があるお客様
 平成30年8月6日から不正プログラムを除去した平成31年1月21日までの間に、「ショコラ ベルアメール」のオンラインショップにおいてクレジットカード決済をされたお客様1,045名で、流出した可能性のある情報は以下のとおりでございます。なお、お客様ご自身及び商品の送付先様の住所、電話番号、メールアドレス、生年月日等の等情報につきましては、流出は確認されておりません。
 ・カード会員名
 ・カード番号
 ・有効期限
 ・セキュリティコード 
(公式発表より引用)

 

ベルアメールは、QAに今回被害を受けた手口を詳細に公開していました。(※他社への類似被害等を考えると、全ての事件でこうした公開をして欲しいものですが・・・)こちらから引用しますと、偽ページを挟まれる攻撃だった様です。

 

f:id:foxcafelate:20190422175012p:plain

 

では、どうして偽ページを挟まれてしまったのか?と言う部分についてもQAで説明がありました

Q.不正アクセスとは何があったのですか?

A.三者によるアプリケーションの脆弱性を突いた不正アクセスで、管理者権限が不正に用いられたことにより、Webサーバー内の情報が改ざんされ、オンラインショップにおいてお客様情報入力画面とクレジットカード情報入力画面の間にフィッシングサイト(偽のクレジットカード情報の入力画面)が差し込まれたものと考えられます。

管理者権限が窃取されている事が、Webページ改ざんの原因であることが明示されています。

 

少し前のWebページを調べてみると・・現在のWebページのデザインと違ってる事が分かります。これが直接の原因かどうか分かりませんが、ショッピングカートや会員ログインが実装されていましたので、ECサイト構築のパッケージを使っていたのではないかと推測します。

だとすれば、パッチ当て(ECサイト構築パッケージのソフトウェア更新)に失敗したか、管理者のパスワードが脆弱であって破られた・・という様な可能性が高いのではないでしょうか?(恐らく前者では・・・)

f:id:foxcafelate:20190422175458p:plain

 

実行計画2019が出て1か月ちょっとがたちますが、実行計画でも懸念されていた、非保持サービスへ移行する前の、Webサイト管理側が担保すべきセキュリティの不備。かなり深刻なのではないでしょうか?

f:id:foxcafelate:20190422180157p:plain

非保持だから安全であるという隙が突かれている。その認識が薄い様であれば、今後もECサイトのインシデントは数多く出てきてしまうと思います。

 

※8/27追記 EC-CUBE使用ver調査結果:v不明 (魚拓:2018/9/7調査)

  http://www.belamer.jp/html/js/css.js

 EC-CUBE利用は確認されましたが、差分情報を持ってない為、Verは不明

f:id:foxcafelate:20190827204554p:plain



 

 

ãã¬ã³ã¿ã¤ã³ã®ã¤ã©ã¹ããç®±å¥ããã§ã³ã¬ã¼ãã»ããã

 

更新履歴

  • 2019年4月22日PM(予約投稿)
  • 2019年8月27日PM EC-CUBEバージョン調査結果を追記