Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

BOOK SHOP 小学館のカード情報漏えい

不正アクセス事件 クレジットカード情報漏えい事件 つぶやいてみた。

小学館パブリッシング・サービスが運営するBOOK SHOP小学館不正アクセスを受けカード情報を漏えいしたと発表しました。

www.itmedia.co.jp

 

公式発表

2. 個人情報漏洩状況
(1)原因
弊社が運営する「BOOK SHOP小学館」のシステムの一部の脆弱性をついたことによるデータベースへの第三者不正アクセスのため。
(2)個人情報漏洩の可能性があるお客様
2015年4月13日〜2020年6月15日の期間中に「BOOK SHOP小学館」(グラビアクラブ決済ご利用のお客様)においてクレジットカード決済をされたお客様1036名で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

(公式発表より引用)

 

キタきつねの所感

少し調査したのですが、不正アクセスを受けたBOOK SHOP小学館が、汎用のECサイト構築パッケージ(ie EC-CUBE)を利用している痕跡を確認できませんでした。

※今回は侵害を受けた原因部分がよく分かりませんでした。(以降、推測を多分に含みます)

 

公式発表の内容を見ると、他の多くのカード情報漏えいの発表と書き方が違います。まず侵害を受けたのが「データベース」である事が分かります。

※偽ページへ誘導されてカード情報を入力する、あるいはカード情報を入力するページに不正なJavaScriptを仕掛けられて情報を窃取される様な攻撃だと、データベースとわざわざ書かれないかと思います。

 

データベースを狙った攻撃では、以前はSQLインジェクションなどで大量にカード情報が窃取される事件が発生していましたが、最近はあまり聞かなくなりました。

最初はSQLインジェクションかと思ったのですが、こうしたインジェクション攻撃を受けた場合はデータベースに格納されたデータをごそっと窃取されて、個人情報(名前、住所、電話番号・・・)も同時に漏えいしたと発表される事が多く、今回の公式発表にはカード情報の漏えいしか書かれてませんので、少し違う気がします。

 

攻撃手法は不明なのですが、BOOK SHOP小学館カード情報の漏えい期間には大きな問題がある気がします。

 

漏えいデータが「2015年~」となっている所に強い違和感があります。

(2)個人情報漏洩の可能性があるお客様
2015年4月13日〜2020年6月15日の期間中に「BOOK SHOP小学館」(グラビアクラブ決済ご利用のお客様)においてクレジットカード決済をされたお客様1036名で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

(公式発表より引用)

 

少し専門的になります。改正割賦販売法は2018年6月1日から施行されているのですが、ECサイトはこの法令対応の為に、カード情報非保持か、PCI DSS準拠(カード情報を保有する場合)が求められています。

www.j-credit.or.jp

 

この法令に従ってカード情報非保持を選択した場合、2018年6月1日以前のデータは6月1日の段階で完全に捨ててないとおかしいのです。

今回の侵害では、不正アクセスを受けたデータベースから2015年以降のカードデータが漏えいしています。つまりBOOK SHOP 小学館はデータベースにカード情報を保持していた可能性が高いと言え、カード情報非保持を実現出来ていなかったと推測されます。

 

とは言え、PCI DSS準拠していればカード情報は保持出来る・・・のですが、PCI DSS準拠していたとしても、「セキュリティコード」の保持は認められていません

 

2015年からハッカーが侵入していてデータベースから不正にカード情報を窃取する為のバックドアマルウェアを仕掛けていたのならともかく(※公式発表からそうした可能性は読み取れませんが)、BOOK SHOP 小学館は、2018年6月施行の改正割賦販売法に向けてカード情報非保持を実現する際に、設定ミスあるいは確認ミスをした可能性が高いかと思います。

ハッカーに2015年の段階で既に侵入されていたケースを除いた場合、例えばカード取引のログにセキュリティコードまで含めたカード情報を記録していたといった実装ミス等が考えられます。

 

BOOK SHOP小学館が、PCI DSS準拠かカード情報非保持だったのかを一応調べてみると、グラビアクラブ決済ご利用のお客様”については、SBIのサービスを利用している事が分かりました。

SBIベリトランスは決済代行会社なので、オンラインクレジット決済システムは、恐らく決済代行+カード情報非保持サービスを指していると推測します。

※検索してもサービス内容がヒットしません

f:id:foxcafelate:20201117060604p:plain

 

余談です。2015年からカード情報が漏えいしていて、漏えい件数が1,036件というのは小学館という著名な企業のサービスとしては非常に少ない気がします。公式発表をよく読むと、「BOOK SHOP小学館」(グラビアクラブ決済ご利用のお客様)と書かれている事を考えると、グラビアクラブ会員のみが漏えい対象だったのかと思います。

 

f:id:foxcafelate:20201117062913p:plain

 

グラビアクラブに紐づいてサービスを提供しているのが、sabraシノヤマネットビジュアルウェブSの3つとなっているので、小学館パブリッシング・サービスの中でも一部のサービスだけだったのが、設定・確認ミスを引き起こした、そんな可能性を感じました。

f:id:foxcafelate:20201117063137p:plainf:id:foxcafelate:20201117063204p:plain

f:id:foxcafelate:20201117063219p:plain

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

本屋のイラスト

 

更新履歴

  • 2020年11月17日 AM