6月末にカード決済を突然停止して、ネットで騒ぎになったECオーダー.comがカード情報漏洩を発表していました。
www2.uccard.co.jp
公式発表 ECオーダー.com不正アクセス発生についてのご報告とお詫び
1、流出の可能性のある期間
2019年1月19日から2019年6月26日
上記期間内に、弊社ECオーダー.comにてクレジット決済をご利用頂いたお客様が対象でございます。
※なお、上記に該当されるお客様には、弊社より、別途メールもお送りいたしております。
2、流出の可能性のあるデータ
流出の可能性のあるクレジットカード情報データは最大で7,467件。
流出した可能性のある情報については以下の通りでございます。
①カード番号
②有効期限
③カード名義人名
④セキュリティコード
3、原因
弊社ECオーダー.comではクレジットカード情報を保持しない仕様として構築しておりましたが、不正アクセスによりアプリケーションファイルを改ざんされた為、2019年1月19日から同年6月26日にかけて通信販売ご注文時に入力頂いたクレジットカード情報が、不正に取得された可能性があることが判明致しました。
(公式発表から引用)
◆キタきつねの所感
ECオーダー.comは、不正侵害を受けた後にサイトを閉鎖しているので、魚拓サイトから分かる範囲だと、通販業務全般をサポートしていて、その一環としてカートシステム(※今回の直接の漏洩対象)等を含んだサイト制作機能を提供していた様です。つまり、自社で持つEC構築パッケージを他社にサービス提供していた事になり、サービスプロバイダーであったと思われます。
そのユーザを見ると、自社でも「HoBiGIRLS STORE」のコアなファン層向けのサイトを運営していた(※現在は閉鎖中)事もあるのかと思いますが、
アダルトゲーム等を取り扱っている企業のECサイトが利用者として多かった様です。6つ程、サイト制作実績が魚拓サイトに出ていたので、少し調べてみると、
・キャラメルBOX https://www.ec-order.com/caramel-box/shop/ ※ECオーダー.comユーザ
公式発表無し。Twitter公式アカウントでホビボックスのリリースへ誘導(10/9)
実績ページの魚拓は今年3月1日のものだったのですが、、、どうやらあまり更新をしない事業者だった様です。
・marron (閉鎖と思われる) Marron - Wikipedia
・Fizz (閉鎖と思われる) Fizz - Wikipedia
・うぃんどみる 通信販売サイト=NEXTON Onlineだったで、サービス変更をしたものと思われる
・Lump of sugar 通信販売サイト=FANZAだったので、サービス変更をしたものと思われる
・SkyFish https://www.ec-order.com/sky-fish/shop/ ※ECオーダー.comユーザ
※公式発表無し。
影響ユーザについて、
ECオーダー.comは7月の時点で、カード決済の突然の停止(閉鎖)がネットで話題となり、いくつかのメディアが報じていたのですが、この際に名前が挙がっていたのが、
まどそふと、エウクレイア、オーガスト、アリスソフトなど、同サービスに通販を委託している複数のゲームメーカーから7月19日、相次いで告知がありました。
(ねとらぼ記事より引用)
エウクレイアは、、かなりホビボックス社の対応について怒っているリリースを出しています。7月19日のリリース内容も併せて掲載されているのですが、ネットで突然漏洩の疑いを知り、問い合わせても調査中としか回答がこなかった、そして長期間に渡ってサービスを停止している事から、ECオーダーからの移転を示唆しています。
オーガストも、既に通販委託先を変更している(怒っている)様です。
アリスソフト も、「この件を受けまして、これ以上ECオーダー.comにて公式通販の運営を続けることは困難、との判断に至りました」と書かれたリリースを出しており、かなり対応について怒っている様です。
カードの漏洩件数は最大で7,467件と、劇的に大きな事件ではありません。しかしアダルトゲームというコアなマーケットの(機微な)個人情報が漏洩した事と、そしてそうしたコアな顧客を相手に商売をしているメーカーからの信頼を失った事から、ホビボックス社のビジネス(通販全般の受託)の根幹が崩れたといっても過言ではないかと思います。
今回不正アクセスの詳細原因は、公式発表にはほとんど書かれていませんし、
3、原因
弊社ECオーダー.comではクレジットカード情報を保持しない仕様として構築しておりましたが、不正アクセスによりアプリケーションファイルを改ざんされた為、2019年1月19日から同年6月26日にかけて通信販売ご注文時に入力頂いたクレジットカード情報が、不正に取得された可能性があることが判明致しました。
(公式発表より引用)
今年大きな被害を出しているEC-CUBEフレームという訳でも無い様ですので、Webページが改ざんされた脆弱点は分かりませんが、Web改ざん検知をしていれば、被害はかなり軽減できたものと思います。
今回の事件に関して言えば、ECオーダー.com側が大家で店子さんのアダルトゲームベンダーに店を貸していた様な構図となります。
カード決済部分のURLは、事件の公式リリースがホビボックスから出された現在はでも、全て「メンテナンス」のお知らせに飛ばされ、もう1クリックしないと事件の詳細発表には飛びませんが、、、
http://maint.ec-order.com/maintenance.html
転送前のURL構造は、
https://www.ec-order.com/caramel-box/shop/
https://www.ec-order.com/sky-fish/shop/
となっており、ec-order.comの管理下で運用がされていた事が分かります。リリースを見る限り、ユーザ側がECオーダー(ホビボックス)の対応を問題視し、運営委託先会社を変更する動きが強いのは、いくつかの要因が考えられますが、
①突然のカード決済停止のみならず、ホビボックス社のホームページを運用も停止(サイト閉鎖)して、その事について、ユーザ(店子)側に詳細連絡が無い(遅い)
②長期間に渡ってカード決済サービスを停止している
③EC-CUBE含めて、類似の攻撃(決済ページの改ざん)が去年から多数発生しているのに、受託企業(サービスプロバイダー)として適切な対策をしてなかった。
という観点が強いのかと思います。
①は店子であるアダルトゲーム会社も、自社の顧客に対して説明をしなければいけない立場にも関わらず、対応が悪かったという事、あるいは先にネットで情報が出回ってしまって後手で対応に追われた事に対する不満があった可能性が高い事です。
②はフォレンジック調査をしていると時間がかかるのはある程度仕方がない事だと思いますが、店子も自社のビジネスに影響する訳ですから、早くカード決済が戻らないのであれば、他社のサービスに切り替えたくなるビジネス上の動機が強くなります。
③は(ネット系の)サービスプロバイダーとしての責任範囲には、セキュリティ対策も当然含まれるべきであって、APT攻撃という訳でもなさそく(そうした内容が公式発表に含まれていない)、ホビボックス社が一般的なセキュリティ対策を怠っていた可能性が高い事に、店子側の不満が出てきていると思います。
ある程度のセキュリティ対策は当然した上で、ECオーダー.comは受託サービス(サービスプロバイダーとしてのサービス提供)をしていたのかと信じたいところですが、「カード情報非保持」サービスを実装した後は、自社サイトの改ざん防止や、定期的な脆弱性診断(ASVスキャン)という部分についての対策が甘すぎたと責められても仕方が無いかと思います。
そうした認識が無いのであれば、本来は他社にはサービス提供してはいけなかった、厳しい言い方ですがそんな風に思います。
参考:7月記事
foxsecurity.hatenablog.com
※11/6(水)に日本プライバシー認証機構(JPAC)様からセミナーのお話を頂きました。国内のカード情報漏洩のみならず、海外のあまり知られてないカード情報漏洩事件などを解説したいと思ってます。良かったら下記開催案内もご覧いただけたら幸いです。
www.jpac-privacy.jp
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
