Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

カード漏洩はビジネスを止める可能性がある

1日2件のカード情報漏洩事件発表というのは珍しいかも知れません。デジブックオンラインがカード情報漏洩を発表していました。(※なので珍しく1日2件記事をUPします)

www2.uccard.co.jp

 

■公式発表 弊社が運営する「みんなのデジブック広場」への不正アクセスによる個人情報流出に関するお詫びとお知らせ

 

◆キタきつねの所感

簡易調査では最近被害が多い、EC-CUBEフレームワーク利用ではありませんでした。とは言え、事件の原因については、

(1)原因
弊社が運営する「みんなのデジブック広場」のシステムの一部の脆弱性をついたことによる第三者不正アクセス

(公式発表より引用)

 

とあるので、最近特に多い偽の決済ページを作られて、カード情報が窃取される攻撃と似ている表現となっています。しかし、漏洩データを見てみると、

 

(2)個人情報流出の可能性があるお客様2009年3月1日~2019年2月20日の期間中に「みんなのデジブック広場」においてクレジットカード決済をされたお客様15,370件、12,139名で、流出した可能性のある情報は以下のとおりです。

  • カード名義人名
  • クレジットカード番号
  • 有効期限
(公式発表より引用)

 

 

「セキュリティコード」が含まれていません。という事は、管理者権限が窃取されて、偽ページを作られてしまったという攻撃ではなく、別な形で漏洩が発生した様です。

 

以下、確たる根拠はない推測となります。

可能性があると思うのは、実はカード情報をECサイト内部(DB)に残していた事でしょうか。推定根拠は漏洩した10年分のデータが長すぎるという事。

 

2019年2月20日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の流出懸念について連絡を受け、2019年2月20日弊社が運営する「みんなのデジブック広場」でのカード決済を停止いたしました。

(公式発表より引用)

 

流石に10年侵害を受けている事をECサイト側が気づかない事はないと思いますし、カード会社からの連絡が今年の2月というのも、それを裏付けているかと思います。(せいぜい半年前に侵入された程度ではないでしょうか?)

 

この推測が正しければ、ECサイト側にカードデータが何らかの形で残っていた事が疑われます。セキュリティコードも決済後には残さない運用(非保持対応)になっていたはずのですが、カードデータをDBに残していた、あるいは変なログに残していた・・・そんな可能性がありそうです。

 

その場合、カード情報が意図せずECサイト側に残っていたという事になりそうですが、だとすると「非保持ではなかった」(※PCI DSS準拠しなければいけなかったECサイトであった)と判断されるインシデントなのかと思います。

 

非保持ソリューション導入時に、残カード情報が無い事ををきちんとチェックしていれば、インシデントには結びつかなかった・・・そんな所ではないでしょうか。

 

さて、インシデントの原因はともかくとして、今後の対応部分については、このインシデントが後押ししてしまった可能性を感じます

 

4. 再発防止策ならびに弊社が運営するサイトの今後について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

今後の「みんなのデジブック広場」ですが、2020年3月31日に全サービスを終了いたします。サービス終了に伴い、2020年3月31日、23時(予定)よりすべての機能を停止いたします。なお、既存のプレミアム会員のお客様につきましては、サービス終了時まで無償で全プレミアム機能をご利用いただけます。

2007年2月のサービス開始より、12年の長きにわたり多くのお客様にご利用いただきまして誠にありがとうございました。サービス終了に伴い、皆様には多大なご迷惑をおかけ致しますこと、深くお詫び申し上げます。

(公式発表より引用)

 

漏洩件数が1.2万件というのは、資本金1000万円の会社としては、カードの再発行、フォレンジック調査>対策強化>PCI DSS監査>カード決済復帰・・・と考えていくとかなりの負担かと思います。

f:id:foxcafelate:20190703211128p:plain

既に決まっていた事業(サービス)撤退なのかどうかは分かりませんが、カード決済を復帰させない(追加セキュリティ投資を抑える)というのも個社によっては現実的な選択と言えるかも知れません。

 

 

尚、枠だけ作っていたのですが・・・フォックスエスタ側に、カード情報のとりまとめを始めております。7月に入って3件目というハイペースなのが気がかりですが、簡易調査をした結果を掲載してますので、ご興味ある方はご覧ください。

foxestar.hatenablog.com

 

 ※8/27追記 EC-CUBE使用再調査:不明 (魚拓:2019/1/11調査)

 魚拓のソースからはEC-CUBE使用を確認できず(※恐らくEC-CUBEは使ってないと思われます)

 

f:id:foxcafelate:20190703202731p:plain

更新履歴

  • 2019年7月3日PM(予約投稿)
  • 2019年8月27日PM EC-CUBE使用再調査