Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ハイパーソフト社サービスからのカード情報漏えい

クレジットカード情報漏えい事件 PCI DSS 調べてみた。

UCカードのお知らせを見て久々にショックを受けました。9/25に6件もカード情報漏えいの発表が出ていました。ヘヤサロンに関係した6サイトが侵害を受けた様です。

f:id:foxcafelate:20200926080219p:plain

 

公式発表

  1. 不正アクセスによる個人情報漏えいに関するお詫び(arte shop/株式会社バトリョ)
  2. 不正アクセスによる個人情報漏えいに関するお詫び(b.shop/株式会社ブロッサム)
  3. 不正アクセスによる個人情報漏えいに関するお詫び(e.shop by Clipper/クリッパー株式会社)
  4. 不正アクセスによる個人情報漏えいに関するお詫び(Salon de Net サプライモール/株式会社ハイパーソフト)
  5. 不正アクセスによる個人情報漏えいに関するお詫び(Wallet SHOP/株式会社スウィーツ)
  6. 不正アクセスによる個人情報漏えいに関するお詫び(e.shop/イーエムエーホールディングス株式会社)

 

キタきつねの所感

決済代行会社やカード会社は、ECサイトからのカード情報漏えいが事件については、発表時期を調整していますので、6件も発表があり、何があったのか?と調べてみた所、(何となくですが)背景事情が分かりました。

 

公式発表を見ると、運営は各ECサイト、システム管理はハイパーソフト社となっており、サービスプロバイダーであるハイパーソフト社が運用しているサーバーが集中的に攻撃を受けたと推測されます。

 

現時点で閉鎖されているサイトのみでしたので、いつもの様に魚拓サイトを見てみたのですが、残念ながらほとんど魚拓が取られていませんでした

 

仕方が無いので、各社の公式発表を見ていきます。

すると、各社の詳細報告は、ほぼ同じ様な記載になっている事が分かります。

 

①arte shop/株式会社バトリョ

カード漏えい件数:8件

(カード名義人名、クレジットカード番号、有効期限、セキュリティコード)

侵害期間:2020年4月13日~4月22日

事件検知:顧客からの問い合わせ(2020年4月20日

フォレンジック調査完了:2020年6月5日

原因:システムの一部の脆弱性をついたことによる第三者不正アクセスにより、ペイメントアプリケーションの改ざんが行われため。

事後対応:一度サービスを終了し、別のサービスとして再開予定

f:id:foxcafelate:20200926082537p:plain

 

■ハイパーソフト社との関係

・公式発表でのハイパーソフト社に関する記載無し

・お詫び文の掲載URLがハイパーソフト社の管轄ドメイン「shop/salondenet.jp」下

f:id:foxcafelate:20200926082640p:plain

 

②b.shop/株式会社ブロッサム

カード漏えい件数:33件

(カード名義人名、クレジットカード番号、有効期限、セキュリティコード)

侵害期間:2020年4月13日~4月22日

事件検知:顧客からの問い合わせ(2020年4月20日

フォレンジック調査完了:2020年6月5日

原因:システムの一部の脆弱性をついたことによる第三者不正アクセスにより、ペイメントアプリケーションの改ざんが行われため。

事後対応:一度サービスを終了し、別のサービスとして再開予定

f:id:foxcafelate:20200926093929p:plain

 

■ハイパーソフト社との関係

公式発表にて明記あり。

このたび、弊社が運営し、システム管理を外部委託(株式会社ハイパーソフト)しておりましたクローズドネットショップ「b.shop」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報が漏洩した可能性があることが判明いたしました。

・お詫び文の掲載URLがハイパーソフト社の管轄ドメイン「shop/salondenet.jp」下

f:id:foxcafelate:20200926094032p:plain

 

③e.shop by Clipper/クリッパー株式会社

カード漏えい件数:3件

(カード名義人名、クレジットカード番号、有効期限、セキュリティコード)

侵害期間:2020年4月13日~4月22日

事件検知:顧客からの問い合わせ(2020年4月20日

フォレンジック調査完了:2020年6月5日

原因:システムの一部の脆弱性をついたことによる第三者不正アクセスにより、ペイメントアプリケーションの改ざんが行われため。

事後対応:一度サービスを終了し、別のサービスとして再開予定

f:id:foxcafelate:20200926094604p:plain

 

■ハイパーソフト社との関係

・公式発表でのハイパーソフト社に関する記載無し

・お詫び文の掲載URLがハイパーソフト社の管轄ドメイン「shop/salondenet.jp」下

f:id:foxcafelate:20200926094703p:plain


④Salon de Net サプライモール/株式会社ハイパーソフト

カード漏えい件数:12件

(カード名義人名、クレジットカード番号、有効期限、セキュリティコード)

侵害期間:2020年2月4日~4月22日

事件検知:顧客からの問い合わせ(2020年4月20日

フォレンジック調査完了:2020年6月5日

原因:システムの一部の脆弱性をついたことによる第三者不正アクセスにより、ペイメントアプリケーションの改ざんが行われため。

事後対応:一度サービスを終了し、別のサービスとして再開予定

f:id:foxcafelate:20200926094922p:plain

 

■ハイパーソフト社との関係

・ハイパーソフト社自身

・お詫び文の掲載URLがハイパーソフト社の管轄ドメイン「shop/salondenet.jp」下

f:id:foxcafelate:20200926095134p:plain

 

⑤Wallet SHOP/株式会社スウィーツ

カード漏えい件数:6件

(カード名義人名、クレジットカード番号、有効期限、セキュリティコード)

侵害期間:2020年4月13日~4月22日

事件検知:顧客からの問い合わせ(2020年4月20日

フォレンジック調査完了:2020年6月5日

原因:システムの一部の脆弱性をついたことによる第三者不正アクセスにより、ペイメントアプリケーションの改ざんが行われため。

事後対応:一度サービスを終了し、別のサービスとして再開予定

f:id:foxcafelate:20200926095451p:plain

 

■ハイパーソフト社との関係

公式発表にて明記あり。

このたび、弊社が運営を委託しております株式会社ハイパーソフトのクローズドネットショップ「Wallet SHOP」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報が漏洩した可能性があることが判明いたしました。

・お詫び文の掲載URLがハイパーソフト社の管轄ドメイン「shop/salondenet.jp」下

f:id:foxcafelate:20200926095806p:plain

 

⑥e.shop/イーエムエーホールディングス株式会社

カード漏えい件数:92件

侵害期間:2020年4月13日~4月22日

事件検知:顧客からの問い合わせ(2020年4月20日

フォレンジック調査完了:2020年6月5日

原因:システムの一部の脆弱性をついたことによる第三者不正アクセスにより、ペイメントアプリケーションの改ざんが行われため。

事後対応:一度サービスを終了し、別のサービスとして再開予定

f:id:foxcafelate:20200926095921p:plain

■ハイパーソフト社との関係

・公式発表でのハイパーソフト社に関する記載無し

・お詫び文の掲載URLがハイパーソフト社の管轄ドメイン「shop/salondenet.jp」下

f:id:foxcafelate:20200926100048p:plain

 


まず気になったのが④のSalon de Net サプライモールです。このサイトは、ハイパーソフト社の自社運営サイトという扱いだと思われますが、侵害期間が他の5サイトと比べて約2か月早い(2020年2月4日~)事が分かります。

攻撃者がまずこのサイトを攻撃した後に、他のサイトを同じ脆弱性を突いて攻撃したと推測されます。(攻撃をハイパーソフト社側が検知できていない)

 

各社の公式発表では押しなべて「サービス終了」となっており、既に全てのサイトが閉鎖されていますので、サービスプロバイダーとしてSalon de Netサービスを展開するハイパーソフト社が、このサービスの継続は難しいと判断したものと思われます。

 

根拠が無い推測となりますが、事件の原因にはカード情報非保持サービスの導入で安心し、Web改ざん検知あるいはシステムへの侵入検知、脆弱性診断など、PCI DSS等でサービスプロバイダーに本来要求されているセキュリティ対策を取らなかった事が影響した気がしてなりません。

本来サービスプロバイダーは、ECサイト自身よりも厳しいセキュリティ基準(PCI DSS)が要求される事が一般的ですが、美容室等にサービス提供する事に注力し、セキュリティ対策はあまり重要視してこなかった、そんな可能性を感じました。

ハイパーソフト社のリリース等を見てみたのですが、ECサイトの被害者としてのリリースはあっても、サービスプロバイダーとしてのリリース内容は確認できませんでした。決済代行会社やカード会社からの指導があったのかも知れませんが、対外的な説明が不足していると思います。

 

些細な所ですが、6社の公式発表では全て顧客からの問い合わせ(2020年4月20日)が発端となり事件を把握していますが、この内容は不正確である可能性が高いです。

6社の顧客が同じ日に問い合わせしてくる確率は0%ではないでしょうか。

 

恐らく、6社の内1社の顧客がカード情報漏えいの可能性を感じて問い合わせしてきたので、「慌ててハイパーソフト社が他のユーザーまで含めて自己点検した」という事なのだと思われます。

※恐らくハイパーソフト社がそう書きたくなかったからこの矛盾が発生しているのかと推測しますが・・・

 

今回のインシデントは、どういった点が直接的な攻撃原因になったのか(魚拓サイト等で確認できないので)分かりませんが、サービスプロバイダーは複数社のデータを(非保持であっても)取り扱う訳ですので、クレジットカード・セキュリティガイドライン(実行計画の後継文書)に書かれている内容以上にセキュリティ対策を実施する事が求められています。

攻撃者は当然の事ながら、サービスプロバイダーに脆弱点があれば複数のECサイトからカード情報窃取が可能である事を熟知していますので、多層防御の導入、あるいは監視強化(侵入後も含め)についてもっと注意すべきかと思います。

 

余談です。今回のハイパーソフト社のインシデント発表(公式発表)は、被害を受けた5社と連盟、あるいはハイパーソフト社がサービスプロバイダーとして(6サイト分を)発表する方が妥当だったのではないでしょうか。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 ヘッドスパ・洗髪のイラスト

 

更新履歴

  • 2020年9月26日 AM(予約投稿)