Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

SYSTEM5のインシデント対応

クレジットカード情報漏えい事件 つぶやいてみた。

空撮用ドローンやプロ用映像機器・撮影機器の販売等を行うシステムファイブ社からカード情報漏えいが発表されていました。

f:id:foxcafelate:20210127055756p:plain

 

公式発表

弊社が運営する「システムファイブ オンラインショップ」への不正アクセスによるクレジットカード情報流出に関するお詫びとお知らせ (魚拓

クレジットカード情報流出に関するご質問とご回答 (魚拓

2.個人情報流出状況
(1)原因
 弊社が運営するオンラインショップへの第三者による不正アクセスがなされ、決済処理プログラムの改ざんが行われたため。

(2)個人情報流出の可能性があるお客様
 2020年7月20日20:49~2020年10月27日13:47の期間中に弊社オンラインショップにおいてクレジットカード情報を新規に入力されたお客様(対象クレジットカード件数:最大3,812件

 ※弊社オンラインショップシステムの仕組み上、お客様のクレジットカード情報は弊社に保持しておりません。その為、新たにクレジットカード情報を入力された方以外の情報の流出は確認されておりません。

【流出した可能性のある情報】
クレジットカード名義人
クレジットカード番号
有効期限
セキュリティコード

(公式発表より引用)

 

 

キタきつねの所感

今年4件目のカード情報漏えいの発表です。1月前半は発表が無かったのですが、後半で4件目となりますので、2021年もカード情報インシデントは結構な数になる予感がします。

※精査が出来てませんが手元の調査資料では2020年のカード情報漏えいインシデント発表は56件(2019年が52件)となります。→詳細を知りたい方はこちらを確認下さい

※今年3件目の柿安本店についても調査していますが調査結果はクローズとしています→理由はこの記事 の下の方

 

先ほどから魚拓サイト等を使ってシステムファイブ社のサイトを調べていたのですが、サイト閉鎖(現在は仮設サイト:Bカートでの運営)の影響もあり、ECサイト構築パッケージ(EC-CUBE等)の痕跡が確認でませんでした

本来ですと、ある程度脆弱性が把握できたインシデントを気づき(他山の石)として記事に書くべきかと思いますが、システムファイブ社の公式発表(インシデント発表)が他社の参考になる気がしましたので取り上げます。

 

被害を受けたサイト(閉鎖中)に飛ぶと、告知ページが出てくるのは他の侵害を受けたサイトでもやっている事が多いのですが、

f:id:foxcafelate:20210127063229p:plain

 

仮サイト側でも非常に目立つ位置に告知が貼られていますし、

f:id:foxcafelate:20210127063544p:plain

 

企業サイトでも目立つ位置に告知がありました。

f:id:foxcafelate:20210127064017p:plain


しかし、企業としての”姿勢”を最も感じたのが、FAQ(QA)のページでした。

info.system5.jp

 

細かい所ですが、情報流出の可能性がある対象期間に「時間」まで含まれているインシデント発表を見たのは久しぶりです。

※顧客やステークホルダーに対する情報開示の姿勢が表れている気がします

f:id:foxcafelate:20210127065522p:plain

 

更に丁寧さを感じたのが、情報流出に関する補足としてのページ図です。

この新規カード情報登録ページでカード情報を入力して(最終的に決済まで至らなかった場合でも)送信した方が対象という事が文章で読むより分かりやすいかと思います。

f:id:foxcafelate:20210127065814p:plain

 

海外のMagecart等のAPT攻撃は別な手口が多々ありますが、国内で主流の攻撃では、フィッシングサイトに誘導するケースと、正規のカード情報登録(決済)ページを侵害するケースがあります。この情報によってシステムファイブ社のデータ侵害のケースでは、後者であって、このページの裏側に不正なスキマー(JavaScript)が仕掛けられた事が推定されます。

 

昨年発表があったカード情報漏えいインシデントの発表では、ほとんどのケースで(脆弱性)情報の公開は公式発表の本文に「システムの一部の脆弱性をついたことによる第三者不正アクセスと書いているだけで、何が原因であったのかは一部の関係者しか知る事がありません

※私が(たまに)間違いを指摘されながらも、カード情報漏えい事件を外部から調査・公開しているのは、「システムの一部の脆弱性」程度の情報開示では、他のECサイト運営者に気づきが無く、結果として国内のインシデントが減らないと思うからです。

 

自社顧客のみならず、他社への気づき(警戒すべき点)にも繋がるこうしたシステムファイブ社の様な情報公開の姿勢は評価されるべきだと思います。

 

このFAQページは、他社が侵害を受けてしまった場合の対象者への告知メールや、サイト上での「情報開示」を考える上で、非常に参考になるかと思います。インシデント対応を担当されている方は、内容を一読される事をお勧めします。

※尚、他のインシデント発表の中で参考になる点が多かったのは伊織(2018年)の発表です。

 

 

余談です。インシデントとは直接関係ない部分だと思いますが、この調査をしている際、システムファイブ社の実装ミスらしき点を見つけました。

※この画面が外部から見えてしまうのは、あまりお勧めできる事ではありません。(他社サイトでもよく見かけますが・・・)

f:id:foxcafelate:20210127072253p:plain

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

テレビカメラのイラスト

 

更新履歴

  • 2021年1月27日 AM