米国ファッションブランド大手のJ.Crewが1年前の不正アクセスによる個人情報漏えいを公表したと報じられていました。
jp.techcrunch.com
大手ファッションブランドのJ.Crewが、同社顧客のオンラインアカウントが「権限のない1つのグループ」によってアクセスされたと発表した。このアクセスは約1年前のことだが、今になってこの被害を公表した。
同社は米国時間3月3日にカリフォルニア州司法当局を通じて公表した書面で、ハッカーは2019年4月ごろに顧客のアカウントにアクセスしたと述べた。この書面によれば、ハッカーは顧客のオンラインアカウントからカード種別、カード番号の下4桁、有効期限、請求先住所などの情報を取得した。オンラインアカウントには顧客の注文番号、配送確認番号、配送状況も保存されていた。
同社の広報担当者は、ハッカーがクレデンシャルスタッフィング攻撃(パスワードリスト型攻撃)のテクニックを使ったことを認めた。これは、すでに流出しているユーザー名とパスワードを使って別のウェブサイトのアカウントにアクセスするテクニックだ。
広報担当者は、影響を受けた顧客は「少数」だと述べたが、正確な数には言及しなかった。カリフォルニア州で事業を運営している企業は、同州の500人以上の住民に関係するセキュリティの問題が発生したら司法当局に報告することが義務づけられている。当局に提出された書面には「複数の州」への通知と記載されており、カリフォルニア州在住以外の顧客にも影響が及んだことが示唆されている。
さらに重大な疑問は、なぜJ.Crewはこの問題を検知し当局と顧客に公表するまでに約1年を要したのかということだが、これについても明らかにされていない。
(TechCrunch記事より引用)
キタきつねの所感
ユーザのパスワードの使い回しに起因する会員データの侵害事件。単純に言えばそれだけですが、J.Crewは米国でもファッションブランドショップとして名高く、影響を受けた顧客がかなりいるのではないかと米国メディアが多く取り上げていました。
これは(当初)J.Crewが被害を受けた顧客の数を明示してなかった事と、ニュースリリースやWebページも見てみましたが、事件に関与する情報が掲載されてなかった(見つけられなかった)のも影響している気がします。
TechCrunchの英語ページ(元ソース)を見てみると、少し日本語翻訳と微妙に差がありました。(追記されたのかも知れません)影響人数についての下記の記載がありました。
スポークスマンは後に、米国全体で10,000人未満の顧客が影響を受けたと述べた。
(TechCrunch記事より引用)※機械翻訳
漏えいしたデータの中身もカード情報はマスキング(下4桁)されていた様ですので、住所やメールアドレス、パスワード程度であり、大型のデータ流出事件が続く米国では、1万人程度の情報漏えいは、あまり被害が出てないと言えるかも知れません。
とは言え、ディノス・セシールが最近は少数の不正アクセスを検知している事を考えると、検知が少し遅い気もします。(侵害を受けてから発表まで1年かかっているも問題な気もしますが)
参考:ディノス・セシールの不正アクセス事件まとめ
foxestar.hatenablog.com
この点はTechCrunchの記事でも指摘されています。
広報担当者は、「通常のWebスキャン」が不適切なアクセスを検出し、顧客に「速やかに通知される」と述べました。スキャンがいつ行われたか、またはアカウント違反がすぐに検出されなかった理由はわかりません。
(TechCrunch記事より引用)※機械翻訳
J.Crewのログイン画面も調べてみましたが、普通のIDとパスワードで会員サイトに入れる様なつくりになっています。
事件の詳細手口についてJ.Crewは公表してないので(そもそもリリースも出してませんが)以下想像になりますが、PCのログイン画面がポップアップ式な事を考えると、モバイルアプリ側を攻められた可能性を感じました。
例えばAPI連動を許していた場合、設計によっては、高速な取引試行が可能になる場合もあります、こうした自動化された攻撃だったとすれば短時間で1万件のパスワードリスト攻撃による不正アクセスが成立したかも知れません。
本日もご来訪ありがとうございました。
Thank you for your visit.
更新履歴
