Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

富洋観光開発のカード漏えい

またECサイトからのクレジットカード漏洩事件です。とは言え、漏洩原因が「Heartbleed」というのは意表を突いてました。

www.security-next.com

 

 洋菓子や和菓子の通信販売サイト「見波亭」の旧サイトが不正アクセスを受け、顧客のクレジットカード情報が流出した可能性があることがわかった。

同サイトを運営する富洋観光開発によれば、不正アクセスを受けたのは、すでに閉鎖済みの「見波亭」の旧通販サイト。2015年2月5日から同サイトを閉鎖した2016年10月31日までの間に不正アクセスを受けた可能性がある。

同期間に旧通販サイトでクレジットカード決済を利用した顧客のクレジットカード情報289件が流出したおそれがあり、クレジットカードの名義や番号、有効期限などが含まれる。

(Security Next記事より引用)

 

■公式発表 不正アクセスによる個人情報流出に関するお詫びとご報告

 

  

◆キタきつねの所感

閉鎖した旧サイト?と思いながら旧サイトのURLを見ると、まだサイトとしては生きています。オンラインショップは別URLのリンクとなっています。当時は旧サイト側にオンラインショップがあったという事なのかと思います。

f:id:foxcafelate:20190629140829p:plain

 

旧サイトの構築がどこのフレームワークを使っているのかな・・と魚拓サイトなどを使って、調べてみたのですが、エラーメッセージから、GMOパペポECサイト構築機能を使っている様でした。

f:id:foxcafelate:20190629142217p:plain

 

とは言え、既にSecurity Nextさんの記事タイトルで「Heartbleed」が脆弱点であった事が判明していますので、その他の中身を検証していくと、

 

(3) 流出した可能性のある情報
① 氏名(カード名義人名)
② クレジットカード番号
③ 有効期限

(公式発表より引用)

 

少し気になったのは、セキュリティコードは漏れてないという事です。最近はクレジット決済でセキュリティコードまで入力を求められる事が多いので、攻撃(ハッカー)側がカード不正をするには、少し情報が足りない(あまり大きな被害にならないだろう)事が推測されます。

 

しかし、それ以上に気になったのが、この事件発表の時系列です。

2. 発覚と対応の経緯
(1) 2018 年 4 月 17 日、クレジットカード決済代行会社より、クレジットカード情報流出の可能性があるとの指摘を受け、2016 年 10 月 31 日クローズ済みの旧通販サイトについての不正アクセスの全容解明および被害状況の把握に向け、社内調査を進めるとともに、外部の専門調査会社である「P.C.F. FRONTEO 株式会社」(以下、「PCF 社」といいます。)に依頼し、調査を実施しました。
(2) 2018 年 9 月 22 日、PCF 社より調査結果報告を受領しました。同社の報告を受け、不正アクセスの疑いとクレジットカード情報流出の可能性があることが判明しました。

(公式発表より引用)

 

この公式発表(リリース)が出されたのが2019年6月24日です。最初に決済代行会社から事件の可能性が知られたのが1年以上前、最終報告書を9カ月前に受領している事になります。9カ月何をしていたのか・・・と考えると、遅すぎませんでしょうか?

 

恐らく関係ない・・であろうと思いますが、各種報告の記載も気になる所があります

(2) 関係官庁への報告
監督官庁である個人情報保護委員会に報告を行いました。
(3) 警察への報告
所轄の警察署である千葉県富津警察署に報告を行いました。

(公式発表より引用)

気づきますでしょうか?報告の日付が記載されていません。他のECサイトの漏洩事件では、比較的●月●日に報告しました・・・と書かれる事が多いのですが、今回のリリースでは「報告が何時行われたのか」が明記されていません

 

この時系列を見る限り、富洋観光開発は事件を隠蔽しようとしていたのではないか?と言われても仕方がないのではないでしょうか。(※もっと最終報告書には経緯・あるいは日付を書くべきでないかと思います。)

 

 

 

余談ですが、旧サイトの作りは・・・あまり褒められたものでは無い気がします。

 f:id:foxcafelate:20190827194748p:plain

 

事件の直接の原因では無いかとは思いますが、管理ログイン部分が外部から容易に推測できてしまうのは、狙いやすいECサイトであると言われても仕方が無いのではないでしょうか。GMOパペポであったり、事件を調査したフォレンジック調査会社等は、もう少しECサイトに「基本的なセキュリティ対策」を啓蒙(指摘)をすべきではないでしょうか。(悪いのはECサイト側ではありますが・・・)

 

f:id:foxcafelate:20190629064458p:plain


 

 

※8/27追記 EC-CUBE使用ver調査結果:v不明 (魚拓:2018/3/7調査)

  http://shop.minamitei.jp/js/css.js

 EC-CUBE利用は確認されましたが、差分情報を持ってない為、Verは不明

f:id:foxcafelate:20190827194621p:plain



 

 

f:id:foxcafelate:20190629140325p:plain

更新履歴

  • 2019年6月29日PM(予約投稿)
  • 2019年8月27日PM EC-CUBEバージョン調査結果を追記