先日、JPAC様でセミナーをさせて頂いたのですが、その資料をまとめる際もMagecartの被害の大きさに改めて驚きましたが、また攻撃事例が増えた様です。
jp.techcrunch.com
老舗百貨店のMacy’s(メイシーズ)は、わずかな期間に二度目となるデータ漏洩で大量のクレジットカード情報を盗まれた。米国カリフォルニア州検事総長への届け出によると、小売業の巨人はハッカーに顧客の名前、住所、電話番号ばかりかクレジットカード番号、カード認証コード、有効期限まで盗まれた。ハッカーはウェブサイトに有害なコードを送り込み、盗んだデータをハッカー宛に密かに送信していた。
Macy’sによるとデータ流出は10月7日から15日まで約1週間にわたった。被害にあった顧客の人数は公表されていないが、数千~数万人が影響を受けただろうと言われている。
(Techcrunch記事より引用)
◆キタきつねの所感
Macy'sと言えば、米国ロサンジェルスでフリーウェイを走るとよくショッピングモールの中に見かける老舗デパートですが、店舗ではなくECサイト側が侵害を受けた様です。記事を見ると、、去年もデータ漏えい事件があった様です。(※事件に気づいてなかったので、このブログ記事はありません)
昨年Macy’sは、1カ月に及ぶデータ漏洩を起こし、顧客ベースの約0.5%ぶんのクレジットカードデータとパスワードをハッカーに盗まれたことを認めた。Macy’sおよび同社傘下のBloomingdale(ブルーミングデールズ)のウェブサイトで起きた。
(Techcrunch記事より引用)
日本のEC-CUBEサイトからのカード情報漏えい事件は一向に下火になりませんが、海外ではもっと派手な攻撃被害が出ていて大きな問題となっています。APT攻撃といっても過言ではないのですが、その中で大きなサイトの侵害事件の多くには「Magecart」の名前が出てきます。BritishAirways、TicketMater、Newegg等々、攻撃に使われるJavaScriptのコードを見ると、非常に洗練された攻撃である事がわかります。
そして、老舗百貨店のECサイトが2回目の被害、、日本で言えば三越クラスの百貨店が2回事件を起こした・・となると相当ニュースになるかと思いますが、被害件数よりも「ブランドイメージ棄損」という面の方が影響が大きいかも知れません。
Webサイトやプレスリリースをみて見たのですが、事件の事は出ていない様です。
www.macysinc.com
日本への配送もしてますので、、、日本人も漏えい対象だった可能性もあるかも知れません。
別な海外記事を読むと、
今回の攻撃は10月7日~15日までの1週間だった様です。不正なコードは15日に削除された、つまり高度のAPT攻撃を1週間でMacy'sが検知できた、と言う事ができるのかも知れませんが、短期間に2回の侵害事件という事もあり、メディア等ではそうは評価してない(Macy'sに問題があったのではないか・・)という記事が多い気がします。(※今回の件でMacy'sは集団訴訟問題を抱えるかと思います)
海外メディアの情報を拾い集めると、「Checkout」(精算)ページと会員のマイページ内の「MyWallet」ページから個人情報やカード情報を不正に転送している様ですので、、、Magecatの特徴でもありますが、キーワード(入力)を監視し、その内容を不正に書き加えられたJavaScriptで転送する手口だったのかと推測されます。
参考まで、Magecartについては、RiskIQが継続的にウォッチしてますので、ここのレポート(英語ですが)を読むと深刻さが理解できるかと思います。
www.riskiq.com
余談です。発表があった日のメイシーズ株価は10%以上下落した様です。
本日もご来訪ありがとうございました。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴