「オホーツク」で有名な新潟の蒲鉾メーカー、一正蒲鉾からのカード情報漏えいが報じられていました。
www.security-next.com
公式発表
(1)原因
弊社が運営する「いちまさオンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたことによるものです。
(2)個人情報流出の可能性があるお客さま
2019年7月1日~2019年9月17 日の期間中に「いちまさオンラインショップ」においてクレジットカード情報を入力された件数は 303 件で、流出した可能性のある情報は以下のとおりです。
・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
キタきつねの所感
魚拓サイトを含め色々と調べてみましたが、ECサイト構築パッケージ(ASP)を使っていそうであることは分かったのですが、どこのASPサービスかは判別できませんでした。(※EC-CUBEでは無い様です)
漏えいカード件数は303件、侵害期間も2か月ですので、そう被害が大きい方ではありません。しかしセキュリティコードまで漏えいしている事等を考えると、一昨年、昨年と被害が続出したEC-CUBEへの攻撃と同様なオンラインスキミング攻撃であるのは間違いなく、同じスキームを利用している他ECサイトも同様な攻撃を受ける可能性を感じます。
余談です。ASPサービスを利用しているのは、例えば会員ログインのURL「../login.asp」で想像がつくのですが、どこのASPサービスなのかは、今回は判別できませんでした。
こうしたECサイト構築サービスの利用で私がよく判別材料として探すのが、会員登録のページです。(※EC-CUBEなどでもそうですが、URLの標準構成に癖がある事が多いと思います)
一正蒲鉾の会員登録ページ(侵害を受けた期間中の魚拓)は「https://www.ichimasa.co.jp/shopping/userRegist.asp」になっていました。いかにも癖のありそうなURLでしたので、ECカートを提供するASPサービスの標準URL構成を色々と探したのですが、結局見つかりませんでした。(※構築パーツのコメントアウトCSSなどを見ると、「けんさくぼっくすサンプル 2」といった日本語コメントがありましたので、日本語サービスであるのは間違いなさそうなのですが・・・)
WordPressのプラグインも見つけたので、こちら(WP)経由だった可能性もありそうですが、これ以上の証跡が確認できませんでした。(※WP用の日本語ショッピングカートサービスもありますが、癖が違う様に思います)
※どなたかご存じの方がいらっしゃいましたらご教授頂けませんでしょうか?
さらに余談です。カード情報漏えいが疑われる際は、フォレンジック調査などを含め一定期間、オンラインサイトを停止する必要が出てきますので、”メンテナンス”に入る事が多いのですが、一正蒲鉾は2/18に事件を発表した後も、”メンテナンス”ページが変わっていませんでした。表示変更し忘れかとは思いますが、(理由は明らかにメンテナンスではないので)更新すべきでないかと思います。
さらにさらに余談です。一正蒲鉾は魚拓サイトを見ると、1998年からECサイトを構築していた様です。一定以上のセキュリティを考慮していた(はずの)20年以上の歴史があるECサイトが脆弱性を突かれてしまった、と考えると、攻撃側の進化に警戒が必要である事が分かるのではないでしょうか。
※1998のHP画面(魚拓)
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
