ペットフード通販サイトからのカード情報漏えい事件が報じられていました。
www.security-next.com
■公式発表 不正アクセスに関するお詫びとお知らせ
1.経緯
2019年5月7日、一部のクレジットカード会社から、「ペットハグサイト」を利用したお客様のクレジットカード情報の流出懸念について連絡を受け、2019年5月7日弊社が運営する「ペットハグサイト」でのカード決済を停止いたしました。
(中略)
2.クレジットカード情報流出の原因
弊社が運営する「ペットハグサイト」のシステムの脆弱性をついた第三者不正アクセス。
(1)ペイメントモジュールの改ざんにより、2018年6月28日~2019年5月7日の期間に「ペットハグサイト」においてクレジットカード決済をされたお客様のクレジットカード情報が抜き出されていた。
(2)「ペットハグサイト」の改ざんにより、「ペットハグサイト」から偽の決済フォームへ誘導されていたため、2019年5月18日~2019年5月20日の期間に偽の決済フォームへ入力したお客様のクレジットカード情報が抜き出されていた。
3.クレジットカード情報流出の可能性があるお客様
(1)2018年6月28日~2019年5月7日の期間、「ペットハグサイト」においてクレジットカード決済をされたお客様
【情報流出した可能性がある項目】
・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティーコード
【件数】
4,011件
(2)2019年5月18日~2019年5月20日の期間、「ペットハグサイト」より誘導された偽決済フォームへクレジットカード情報を入力されたお客様
※偽の決済フォームに誘導されていたため、取引成立・不成立に関わらず、クレジットカード情報を入力した全てのお客様全員が対象となります。
※対象のお客様のクレジットカード情報は特定できておりません。
【情報流出した可能性がある項目】
・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティーコード
【件数】
87件
(公式発表より引用)
◆キタきつねの所感
ATP攻撃以外では初めて目にする気がしますが、2度の違ったパターンでの攻撃による事件発表です。(1)の攻撃の詳細はわかりませんが、決済ページ(の周辺)に悪意あるJavaScript(スキマー)を仕掛けた、オンラインスキミング攻撃だと思います。
(2)の攻撃は決済ページ(正規)に飛ぶ、リンクページを改ざんして「偽の決済ページ」へ誘導するフィッシング攻撃(の一種)となります。
(1)の攻撃については、カード会社からカード情報流出懸念の連絡を受けてカード決済を止めています。
しかし、支払いについては多くのECサイト事業者がそうである様に、カード以外の決済手段も対応していた事から、カードだけ停止して(追加被害はないだろうと)フォレンジック調査に入ったら、攻撃側がカード決済が止まっていても有効なフィッシング攻撃を仕掛けていた事が判明したという経緯なのだと思われます。
2019年6月20日の魚拓ページ(※5月7日のカード決済停止以降)が残っていたので見てみると、カード決済停止について少なくてもトップページでの告知はされてませんでした。数日間(5月18日~5月20日)とは言え、フィッシングページ(偽の決済ページ)に誘導されてしまった方が居る事を考えると、ユーザ告知という点では若干問題があった気がします。
書くのが遅れましたが、EC-CUBEの証跡が確認されました。今年2件目となります。
この後記事を書こうと思いますが、もう1件1/15にはカード情報漏えい事件が発表されてますので、1月に入って少なくても4件のカード情報漏えい事件が発表されています。
およそ半年前の事件が多いので、現在の攻撃動向は分かりませんが、去年後半にカード情報漏えい事件が急増していた勢いのまま、カード情報漏えい事件(の発表)が続いています。それを踏まえると、2020年もECサイト運営事業者は「狙われている」という警戒心を持ち、自社サイトの(定期的な)セキュリティチェック実施を心がけるべきかと思います。
foxestar.hatenablog.com
本日もご来訪ありがとうございました。
Thank you for your visit.
更新履歴