Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

アイビー・シー・エスの広報戦略

PCI DSS クレジットカード情報漏えい事件 不正アクセス事件 調べてみた。

今年最初のカード情報漏えい事件としてカウントされるのは、アイビー・シー・エス運営の2サイト「IVYCS FEE PAYMENT(青山学院会費)」「東京女子大学購買センター Web Shop」となる様です。

www2.uccard.co.jp

www2.uccard.co.jp

 

公式発表

弊社が運営する「IVYCS FEE PAYMENT(青山学院会費)」への不正アクセスによる個人情報漏洩の可能性に関するお詫びとお知らせ(第 2 報)1/18(魚拓

弊社が運営する「IVYCS FEE PAYMENT」への不正アクセスによる個人情報漏洩の可能性に関するお詫びとお知らせ 2020/10/8(魚拓

弊社が運営する「東京女子大学購買センター Web Shop」への不正アクセスによる個人情報漏洩の可能性に関するお詫びとお知らせ魚拓

 

キタきつねの所感

昨年10月にカード情報の漏えいを発表した「青山学院購買会」サイトの運営事業者(株式会社アイビー・シー・エス)の別2サイト同時期に攻撃をされていた様です。

当該2サイトから個人情報漏えいが漏えいした可能性があり、カード情報についてはフォレンジック調査の結果、漏えいまでは確認できなかったものの、偽の決済フォーム(フィッシングサイト)が設置されていた可能性が否定できない為、侵害が確認された期間中にカードを利用した顧客を漏えいの最大件数(IVYCS FEE PAYMENT:48件、東京女子大学購買センター:162件)として発表しています。

 

2サイトの公式発表を見ると違和感がありました。

カード情報漏えい懸念がカード会社から伝えられたのが2020年5月12日フォレンジック調査が完了したのが2020年6月29日となっています。

1.経緯
2020 年 5 月 12 日、一部のクレジットカード会社から、弊社が運営する別のサイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、同日弊社が運営する「IVYCS FEE PAYMENT」での年会費集金サービスを停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2020 年 6 月 29 日調査機関による調査が完了

IVYCS FEE PAYMENT公式発表より引用)

 

1.経緯
2020 年 5 月 12 日、一部のクレジットカード会社から、弊社が運営する別のサイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、13 日、弊社が運営する「東京女子大学購買センター Web Shop」での商品販売を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2020 年 6 月 29 日調査機関による調査が完了

東京女子大学購買センター公式発表より引用)

 

同一ECサイト運営事業者のサイトですので、同時にフォレンジック調査をしたのは当然なのですが、昨年10月にカード情報漏えいを発表し、こちらは偽の決済フォームへの誘導が確認された「青山学院購買会」も、カード情報漏えい懸念がカード会社から伝えられたのが2020年5月12日フォレンジック調査が完了したのが2020年6月29日となっているのです。

参考:青山学院購買会もEC-CUBE - Fox on Security

1.経緯
2020 年 5 月 12 日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、同日弊社が運営する「青山学院購買会通販サイト」での商品販売を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2020 年 6 月 29 日調査機関による調査が完了

青山学院購買会通販サイト公式発表より引用)

 

同時期に3サイトのフォレンジック調査をしている事は何ら不思議ではありませんが、6月29日には、フォレンジック調査が3サイト全てで完了している事を考えると、今回発表があった「IVYCS FEE PAYMENT」と、「東京女子大学購買センター」をカード情報漏えいが確認されなかったとし発表しないのであれば分かるのですが、「青山学院購買会通販サイト」と同時期に発表せずに時期をずらした事に、3サイトの運営事業者であるアイビー・シー・エス”広報戦略”を感じました。

 

(以下確たる根拠はありません)

IVYCS FEE PAYMENTのページを見ると、3つの”商品”がある様に見受けられます。現在はサイトが閉鎖されており、魚拓サイトにも記録が無かったので現サイト上で確認できる範囲で見てみると、

f:id:foxcafelate:20210119055150p:plain

 

箱根駅伝を応援する会のリンクを押すと、”商品が見つからず”と出てくる事から、元々は商品(支払い)として登録されていた様に思います。

f:id:foxcafelate:20210119055536p:plain

時期的な事を考えると・・・そう言えば2020年の箱根駅伝のデフェンディングチャンピオンは青山学院だった事を思い出しました。10月(青山学院購買会のインシデント発表近く)は、全日本駅伝に向けて原監督が「コロナに負けるな大作戦」を喧伝していた頃でした

そして今回の発表は箱根駅伝で青山学院が復路優勝を果たし実力を見せつけた興奮が冷めた(関連ニュースがなくなってきた)頃に出ています。

これは、3サイトの運営会社であるアイビー・シー・エスが、青山学院100%出資の事業法人である事が影響した(駅伝に関するネガティブな情報を10月の時点で出したくなかった?)のかも知れません。

f:id:foxcafelate:20210119060906p:plain

 

今回の2サイトの分析を最後に書いておきます。とは言え、2サイト共に魚拓サイトにデータが無かったので、現在のサイトから見える部分だけの分析結果となります。

結論を言えば2サイトはEC-CUBE」を利用していた様です。

 

「IVYCS FEE PAYMENT」ですが、現在のTOPページの「左上」にEC-CUBEロゴが確認できます。

f:id:foxcafelate:20210119061427p:plain

 

魚拓データも無いので侵害を受けた期間と現在のサイトが同じであるかの確証はありませんが(普通は変えないとは思うのですが)、呼び出されているCSSを見るとEC-CUBE3系を利用している事が分かります。

f:id:foxcafelate:20210119061739p:plain

次に「東京女子大学購買センター Web Shop」ですが、こちらも魚拓データがなく、DBも停止している様ですが、もう少し痕跡がありました。

 

会員登録のページで確認してみると、規約ページには飛べませんでしたが、

f:id:foxcafelate:20210119062216p:plain

 

ソースを見ると・・・何やら馴染みのコメントアウトが出てきました。

f:id:foxcafelate:20210119062330p:plain

 

EC-CUBE2.13に特有のコメントなので、2系利用をしていたものと推定されます。

f:id:foxcafelate:20210119062352p:plain

 

EC-CUBE2.13ファイル(痕跡)も確認できました。

f:id:foxcafelate:20210119062530p:plain

 

青山学院購買会もEC-CUBE2.13だったと思われるので、同じと言えば同じなのですが、2サイト(青山学院購買会、IVYCS FEE PAYMENT)が2系、1サイト(東京女子大学購買センター)が3系と揃ってない所に少しモヤモヤとしたものを感じます。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

DDoS攻撃のイラスト

 

更新履歴

  • 2021年1月19日 AM