Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ジュニアーオンラインショップからのカード情報漏洩

PCI DSS クレジットカード情報漏えい事件 調べてみた。

最近UCカード(セゾン)系の重要なお知らせがフィーバーしている気がします。またカード情報漏洩が発表されていました。

www2.uccard.co.jp

 

■公式発表 弊社が運営しておりました「ジュニアーオンラインショップ(旧サイト)」への不正アクセスによる個人情報流出に関するお詫びとお知らせ

 

(1)原因弊社が運営する「ジュニアーオンラインショップ(旧サイト)」のシステムの一部の脆弱性をついたことによるペイメントアプリケーションの改ざんが行われたため。(2)個人情報流出の可能性があるお客様2017年9月18日~2018年9月21日の期間中に「ジュニアーオンラインショップ(旧サイト)」においてクレジットカード決済をされたお客様2407名で、流出した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
セキュリティコード

上記に該当する2407名のお客様については、別途、電子メールおよび書状にて個別にご連絡申し上げます。

(公式発表より引用)

 

 

◆キタきつねの所感

カード情報漏洩事件ではたまに見かけますが、新サイトへの移行があるので、旧サイトのセキュリティ(監視)が弱まった隙を突かれたという典型例かも知れません。

 

とは言え、公式発表には気になる文言も・・・。

4.再発防止策ならびに弊社が運営するサイトについて
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
現在、弊社が運営している新しい「ジュニアーオンラインショップ」につきましては、改正割賦販売法に基づくカード情報の非保持化対策を行い2018年10月1日よりカード決済を開始しております。

(公式発表より引用)

 

改正割賦販売法対策を2018年10月1日から実施しているという事になるのですが、改正割賦販売法(=カード情報非保持対応期限)は実行計画では2018年3月末、法律施行ベースで考えても、6月1日までに非対面加盟店(ECサイト)は実施してなければ、法令違反状態(罰則はありませんが)だった事になります。

 

結果論ではありますが、実施期限までに非保持対策を行っていれば、もう少し被害は抑えられたという事になります。それでも時系列から考えると2017年9月から侵害を受けていた訳であり、去年・一昨年は実行計画や経産省JCA等々の業界団体の注意喚起も何度も出ていた中、個社の対応が遅かった、あるいは侵害(ページ改ざん)を長期間検知できなかった部分については、責められるべきインシデントと言えるかも知れません。

 

侵害を受けたとされる旧サイトを魚拓サイトで調べてみましたが、今回は明らかな脆弱性らしきポイントは見出せませんでした。

 

旧サイトはこんなサイトデザインだったのですが、管理者権限を奪取、あるいは決済ページを直接改ざんされた脆弱性は分かりませんでしたが、公式発表のQAを見ると、決済ページ改ざんされて、そこから入力したデータを抜き取られた部分は、最近のカード情報漏洩事件と同じ構図の様です。

f:id:foxcafelate:20190610225401p:plain

 

 

不正アクセスの被害にあっているかの確認について

Q.ジュニアーからクレジットカード情報が流出したのですか?

ジュニアーではカード情報を保有しておりません。今回は、サーバーへの不正アクセスにより、お客様が入力されたカード情報を取り出せるように、カード情報入力画面が改ざんされており、そこから流出したものとなります。

公式発表QAより引用)

 

管理者権限を奪取されない様な対策、および管理者パスワードの強化(安易な管理者パスの使用はかなり危険性が高くなってきていると考えるべきかと思います)、そして一番対策として有効なのは、決済ページ(あるいはその前のページ)の改ざん検知だと思います。

 

 

余談ですが、QAを読んでいて少し気になったのが、

Q.2018年9月21日より後の注文は安全ですか?

ジュニアーオンラインショップ(旧サイト)は、サイト老朽化に伴う新環境での新サイトへの移行のため、9月21日13時にて運営を終了しており、その時点でカード決済を停止しております。
また10月1日から運営を再開した現行のジュニアーオンラインショップにつきましては、改正割賦販売法に基づくカード情報の非保持化対策、並びにセキュリティ対策を行い、再発防止をはかっておりますのでご安心ください

公式発表QAより引用)

 

 

既に対策済(らしい)という事なので、大丈夫かと思いましたが、少し現行(新)サイトのURLを叩いてみたところ、管理者ログイン画面までは(幸いにして)行きつきませんでしたが、エラー画面の返し方は、まだ改善の余地があるのかも知れないなと思いました。

※一般的に、エラー情報から読み取れる情報を少なくする事で外部攻撃を受けるリスクは軽減されると言われています。

 

f:id:foxcafelate:20190610225857p:plain

 

 

 ※8/27追記 EC-CUBE使用ver調査結果:v不明 (魚拓:2016/4/27調査)

  http://junior-onlineshop.jp/user_data/packages/JNR001/js/css.js

 EC-CUBE利用は確認されましたが、差分情報を持ってない為、Verは不明

f:id:foxcafelate:20190827200947p:plain

 

 

f:id:foxcafelate:20190610230844p:plain

 

更新履歴

  • 2019年6月11日AM(予約投稿)
  • 2019年8月27日PM EC-CUBEバージョン調査結果を追記