化粧品の通販サイト「MODERN BEAUTY TOKYO」からカード情報漏えいが発表されていました。
www.security-next.com
■公式発表 「MODERN BEAUTY TOKYO」への不正アクセス発生についてのご報告とお詫び
1、漏洩の可能性のある期間
2016年11月15日から2018年11月7日
上記期間内に、弊社ショッピングサイトでクレジット決済をご利用された方が対象でございます。
2、漏洩の可能性のあるデータ
流出の可能性のある個人情報データは最大で16,109件。
流出したクレジットカード情報については以下の通りでございます。
① 氏名
② クレジットカード番号
③ クレジットカード有効期限
④ セキュリティコード
3、原因
調査会社の調査により、2016年11月15日から2018年11月7日に外部からのWebアプリケーションへの不正侵入により、お申込をいただいた際にご利用いただいたクレジットカード会員データ等が抜き取られた可能性があることが判明いたしました。
(公式発表より引用)
◆キタきつねの所感
よく見ると、最初にカード会社が懸念を出した、すなわち事故に気づいたのが去年11月である事がわかります。それにしては、発表まで11カ月かかっているのは、、、
4、対策
2018年11月7日にカード会社から決済代行会社を通じて、弊社オンラインショップで情報漏えいの懸念がある旨連絡を受け、社内での調査をいたしましたところ、漏洩懸念が判明し、被害拡大防止のため直ちにオンラインショップでのカード決済のご利用を停止いたしました。
(中略)
5、公表が遅れた経緯について
2018年11月7日の流出懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、決済代行会社と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
フォレンジック調査とカード会社の連携で11カ月は長い気がしますが、違う見方をすれば、、、それだけECサイトからの漏洩事件が「順番待ちをしている」と考える事もできます。フォックスエスタ(※調査情報やデータをまとめている別サイト)でカード情報漏えい事件をまとめていますが、
クレジットカード情報漏洩事件のまとめ(2019年下半期) - フォックスエスタ
残念ながら、またEC-CUBEです。6月から10月までで少なくても24件のカード情報漏えい事件リリースが出ていますが、私の調査だと、一部推定が入りますが、21件(87.5%)がEC-CUBEユーザです。毎回書いている気がしますが、異常な状態です。
EC-CUBEユーザの対策がされてない事の証といっても過言ではありません。開発元のイーシーキューブ社はもっと緊急警告を出すべきではないでしょうか。
尚、EC-CUBEの痕跡についてですが、仮記事でもUPしましたがEC-CUBEで間違いありません。
会員登録ページ他の特徴もEC-CUBEと合致しますし、、、
普通にこのページのソースを見ても、EC-CUBEのスクリプトを呼び出している事が明示されています。
どうやら、バージョンは、2.13の様です。
それよりも問題だと思ったのが、、、事件リリースを出していながら(※大きな脆弱性はつぶした後にリリースを出すはずなのですが・・・)、未だに脆弱性を残していると思われる点です。
この画面が見えてはいけないと思うのですが・・・
(※PCFさんはちゃんと報告=指導したのだろうか・・・)
手間ばかりかかって、あまりやりたくないのですが、EC-CUBEユーザ向けに、1人NOTICEを始めるべきか・・・悩むところです。
本日もご来訪ありがとうございました。
※11/6(水)に日本プライバシー認証機構(JPAC)様からセミナーのお話を頂きました。国内のカード情報漏洩のみならず、海外のあまり知られてないカード情報漏洩事件などを解説したいと思ってます。良かったら下記開催案内もご覧いただけたら幸いです。
www.jpac-privacy.jp
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
