この記事も気づきませんでした。またEC-CUBEサイトからのカード情報漏洩事件ですが、、インシデント件数が昨年の倍以上のペースになっているのが非常に気になります。
www.security-next.com
■公式発表 弊社が運営する「掃除用品オンラインショップ」への不正アクセスによる個人情報流出に関するお詫びとお知らせ
2.個人情報流出状況
(1)原因
弊社が運営する「掃除用品オンラインショップ」のシステムの一部の脆弱性を突いたことによる第三者の不正アクセス
(2)個人情報流出の可能性があるお客様
2019年5月7日~2019年5月15日の期間中に「掃除用品オンラインショップ」においてクレジットカード決済をされたお客様34名で、流出した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
(公式発表より引用)
◆キタきつねの所感
漏洩対象件数が少ないので、特に取り上げるべき事件ではなのかも知れませんが、どんな脆弱性を突かれたのかが気になるので、現在のサイトを調べてみると、やはりEC-CUBEの痕跡(site.js)がありました。
再発防止策の部分も見ましたが、、事件の原因となる部分は公表してない書き方でしたので、特に参考となる部分は無いのですが、
4.再発防止策ならびに弊社が運営するサイトの再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
(公式発表より引用)
余談ですが、やはりクレジットカード漏洩の影響が出た場合は、以下の様な対応
改修後の「掃除用品オンラインショップ」でのクレジットカード決済の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。
(公式発表より引用)
一度カード決済を止めて、フォレンジック調査>セキュリティ対策改修>カード決済再開の流れが普通であって、先日記事を書いた、着物レンタルのオリフリの漏洩発表内容との内容差に違和感を感じます。完全にカード情報漏洩が無かったとは言い切れる文面ではない気がします。
クレジットカード情報漏洩事件(2019年6月以降)として、少なくても24件が発表されていますが(※一部複数ECサイトが関与する事件を1件と数えていたりするので必ずしも被害を受けたECサイト件数ではありません)、2件を除いて、つまり22件がEC-CUBE利用ユーザです。今後もEC-CUBE系は狙われる可能性(※既に攻撃を受けているEC事業者含む)は高いかと思います。
foxestar.hatenablog.com
※11/6(水)に日本プライバシー認証機構(JPAC)様からセミナーのお話を頂きました。国内のカード情報漏洩のみならず、海外のあまり知られてないカード情報漏洩事件などを解説したいと思ってます。良かったら下記開催案内もご覧いただけたら幸いです。
www.jpac-privacy.jp
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
