昭和27年創業で東海圏を中心に26店舗を展開する大型釣り具専門店のイシグロのECショップからカード情報が漏えいした可能性があると発表されていました。
www2.uccard.co.jp
公式発表
・弊社が運営する「イシグロオンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ
2.個人情報漏洩状況
(1)原因
弊社が運営する「イシグロオンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)個人情報漏洩の可能性があるお客様
2020年5月27日~2020年10月22日の期間中に「イシグロオンラインショップ」においてクレジットカード決済をされたお客様最大3,171名で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
(公式発表より引用)
キタきつねの所感
本朝は、昨日話題になっていたTrelloの漏えい情報を調べてネットで話題になっていた”漏えい”証跡が結構収集できたのですが、個人情報や機微な情報の取扱いに時間がかかりそうでしたので、読者の方も「飽きた」とは思いますが、またカード情報漏えいの発表が出ていましたので、こちらを取り上げます。
※余談ですが、Trelloの件は公開設定不備、つまり「意図しない情報公開」が原因であり、Amazon S3やSales forceで一時期漏えい被害が続いた件と構図はほぼ同じです。個人情報公開が大好きのノーガード戦法の方々は別にして、Trelloは法人利用の有償オプションもあったはずなので、ここで携帯電話に対するMDMの様に、強制的に非公開設定を共用する(又は意図せぬ公開が無いかを確認できる)オプションを提供すべきだったのではないかと思います。
本題に戻ります。ここ1-2週間カード情報漏えいの記事が多いのが大変残念なのですが、インシデント発表件数が減少傾向になかなかなりません。
下図の7-8割の件数はEC-CUBE利用サイトですが、昨日記事の「せんたく便」や本日の「イシグロオンラインショップ」は別なCMS(又は独自開発)です。
※4/7 PM tikeさんから記事内容の間違い指摘を受け、以下大幅に内容を修正します。(Wayback machine付与のコードを勘違いしておりました。申し訳ありません。)
「イシグロオンラインショップ」を調べていくと、EC-CUBEの特徴は無く、CMSは何を使っているのだろうと思って色々調べてみたのですが、どうやらSiTEMANAGEを使っていた様です。
今回侵害を受けたサイトは2つあり、UCカードのサイトには「イシグロメイキングパーツ専門オンライン」「イシグロ中古つり具専門」と書かれていましたが、
SiTEMANAGEの事例ページには、「ロッドビルディングパーツ専門通販サイト」
www.sitemanage.jp
と「中古リサイクル釣具専門通販サイト」の紹介があり、
www.sitemanage.jp
サイト名は少し違うものの、リンク先のサイト上部に情報漏えいの公式発表がありましたので、こちらの2サイトが侵害されたサイトの様です。
今回の侵害がどういった脆弱点を突かれたのかは、(手口が)分からないのですが、実績サイトを覗いてみると、1月にカード情報漏えいを発表した「柿安オンラインショップ」も出ていましたので、EC-CUBEと同様にサイト実装のミスを突かれた可能性を感じます。
※個人的には、EC-CUBEサイトへの侵害に対する感想と同様ですが、カード情報非保持のサイトでも(安心せずに)定期的に脆弱性診断をすべきだと思います。
余談です。侵害された2サイトの公式発表の内容は同じで、2サイト合わせて「イシグロオンラインショップ」の漏えいが発表されているのですが、1点気になったのが、
※お詫び文の冒頭にはカード漏えい件数が「4,026件」と書かれているのですが、
詳細内容の方は、最大「3,171名」となっていた所です。一瞬誤記かと思ったのですが、同一顧客が買い物をしている事もあるので、正しい表現なのだと思います。
※いくつか改めて過去のインシデント発表文を読み返してみたのですが、件と件(同じ数字)になっている方が多い印象です。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
- 2021年4月7日 AM
- 2021年4月7日 PM tikeさんより内容間違いの指摘を受け記事を修正
