直久・・・ここのラーメンは食べた事があるだけに、残念なカード情報漏えい発表でした。
www2.uccard.co.jp
■公式発表 弊社ネットショップに使用するアプリケーションサービス「Allin1 Office」が
運用するサーバーへ䛾不正アクセス発生について䛾ご報告とお詫び
1.漏洩の可能性のある期間
2017 年 4 月 27 日から 2018 年 3 月 28 日
上記期間内に、弊社ネットショップでクレジット決済をご利用された方が対象でございます。
※なお、上記に該当されるお客様には、弊社より 2019 年 10 月 24 日から別途 E メールおよび書状もお送りいたします。
2、漏洩の可能性のあるデータ
流出の可能性のある個人情報データは最大で 133 件。
流出した可能性のあるクレジットカード情報については以下の通りでございます。
① 氏名
② クレジットカード番号
③ クレジットカード有効期限
④ セキュリティコード
3、原因
調査会社の調査により、全研本社株式会社提供のアプリケーションサービス「Allin1 Office」が運用するサーバー(以下「本件サーバー」といいます。)の脆弱性を利用した外部からの攻撃により、2017 年 4 月 27 日から 2018 年 3 月 28 日に決済をご利用されたクレジットカード会員データ等が抜き取られた可能性があることが判明いたしました。
(公式発表より引用)
◆キタきつねの所感
漏洩件数は133件と大した事はありません。また、3月末から発表まで7カ月かかっているのも、少し遅いかなと思う程度で、最近事件が毎週の様に出ているからなぁ・・と思うので、そんなに違和感はありません。(PCF社が大変そうな事になっている気がしますが・・・)
本日気になったのは・・・
仮記事を書いた時に少し調べたのですが、直久オンラインショップが利用していた、
「Allin1Office」というネットショップ構築のプラットフォームですが、セキュリティ設計思想が感じられませんでした。
調べてみると、まずサービスが10月1日に終了してました。今回の件のリリースもトップページに、あるいは運営会社(Zenken)のリリースも見ましたが、まったく触れられていません。
サービス終了したので、、、で全て済まそうとするのはPマークを取っている企業としては如何なものかと思います。
魚拓サイトで調べてみると、「長年のご愛顧」の言葉通り、Allin1 officeは2005年頃からサービスを開始していた様です。(魚拓サイトの最古ページは2005年4月4日)この頃であれば、表にログイン画面を出す様な仕組みはごく一般的だった気がしますが、同様の設計思想のまま14年以上サービスを続けていたのでしょうか。
逆に最後のログが魚拓サイトで確認できたのは、2019年5月7日です。
サービス終了してしまっていますが、実はGoogleを見るとログインページが検索にひっかかります。
マスターログインページはまだ生きています。
All in 1 officeの利用ユーザがまだ残っていれば、更なる攻撃の対象になる危険性が考えられますが、魚拓サイトから見える実績サイトの多くは他のフレームワーク(GMOさんが多かった気がします)に移転済か、閉鎖済の様です。
余談ではありますが、もしこの認証画面を攻撃視点で攻撃する場合、”ID/PASSWORDを忘れた場合”が悪用できる可能性を感じました。
実際に試せないので、これが正しいのかは分かりませんが、【検索する事ができます】という文言にひっかかります。普通、この手のIDやパスワード検索は、登録メールに送付する・・・という運用が多いのですが、「検索」という日本語は、画面に表示させる事を含んでいる気がしてなりません。
こうした運用は、IDやパスワードを忘れた正規ユーザ側から見れば、画面にパッと表示してくれた方が手間がかからず楽で良いのですが、正規だけではなく、不正ユーザにもありがたい機能になっていた可能性があります。認証情報を不正に窃取できたセキュリティホールになっていた気がしました。
IDとパスワードを検索するのに必要な情報は、登録メールアドレスと、電話番号。普通のユーザであれば、ハッカーはこれらの個人情報までは持ってない=攻撃が成立しにくいケースが多いのかと思いますが、ビジネス用のサービスの場合、登録ユーザは法人ですので、この認証方法に問題があった可能性は十分に考えられます。
例えば、今回被害を受けた直久の会社案内には、代表電話と思われる番号記載があります。
また、直久のお問合せページには、メールアドレス記載があります。
「inquiry@fukukuru.jp」は問い合わせ専用のアドレスであって、登録メールアドレスでは無かったかも知れませんが、ドメイン部分「fukukuru.jp」が判明しますので、「info@fukukuru.jp」「support@fukukuru.jp」といった、よくありそうなアドレスを試してみれば、本来、第三者には漏れてはいけない情報(IDとパスワード)が漏れてしまった・・・そんな事も考えられるのです。
All in 1 Officeのヘルプが見れないので(※それが本来正しいのですが)推測が交じりますが、ID部分がシステムから吐き出されたものではなく、あるいは初期登録後にユーザ側で勝手に変更できた場合、IDがメールアドレスになっていた可能性もあるかも知れません。だとすれば、IDをわざわざ探し出さなくても、普通にこの「マスターログイン」画面にパスワードリスト攻撃をかけたという可能性もありそうです。
因みに、攻撃者視点では、私はまず事例(実績)紹介ページを見ます。魚拓サイトで直近データを見る限り、直久のサイトは掲載されていませんでしたが、もしサイト掲載されていれば、上記の様な手法で、攻撃対象の情報を収集してから攻撃する事は可能かと思います。
因みに、、、もうサイト閉鎖されているので取り上げますが、理想科学さんもAll in 1 Officeユーザだった様です(事例サイトに名前が出てました)。
どうやら、理想科学さんのサイトは6/28に閉鎖された様です。今回の発表のタイミングから考えると・・・All in 1 Officeの10/1サービス撤退を6月には知らされていたのだと思います。他の事例紹介サイトのいくつかも6月~7月でリニューアルしてましたので。。。
追加調査は以上です。既に閉鎖されているサイトが多いのと、これ以上調べていくと、(ついうっかり)不正アクセスの領域に踏み込みそうな気がしますので止めますが、最後に言いたいのは、、「見せない方が」セキュリティ上は良いケースもあるという事でしょうか。
Googleにマスターログインを表示させるのもしかり、事例サイトに自社が何を使っているのか載せてしまうのもしかり、あるいはIDやパスワードが画面で見れてしまう(かもしれない)のもしかり、、、ユーザビリティだけでなく、セキュリティも考慮が必要なのは、ECサイトも、そしてそこにサービスを提供する事業者も同じ気がします。
本日もご来訪ありがとうございました。
※11/6(水)に日本プライバシー認証機構(JPAC)様からセミナーのお話を頂きました。国内のカード情報漏洩のみならず、海外のあまり知られてないカード情報漏洩事件などを解説したいと思ってます。良かったら下記開催案内もご覧いただけたら幸いです。
www.jpac-privacy.jp
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴