個人情報漏えいを3/31に発表していた人気料理研究家栗原はるみさんがプロデュースするECサイトからカード情報も漏えいしていたと発表されていました。
scan.netsecurity.ne.jp
公式発表
・弊社が運営する「ゆとりの空間オンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ(続報) (魚拓)
2.事案概要
(1)漏えいした可能性があるクレジットカード情報
2020年12月8日~2021年1月26日の期間中に、当サイトでクレジットカード情報の登録または決済が行われた4,509件の以下の情報
・カード番号
・有効期限
・カード名義
・セキュリティコード
(2)漏えいの原因
弊社が運営するウェブサイト「ゆとりの空間オンラインショップ(https://www.yutori.co.jp/)」(以下、「当サイト」といいます)のシステムの脆弱性を突いた第三者の不正アクセスによって、決済画面の改ざんが行われ、お客様のクレジットカード情報が第三者に送信された可能性があることが判明いたしました。
本来、当サイトでは、システム内にお客様のクレジットカード情報を保持しない仕組みを採用しておりましたが、上記改ざんにより作成されたクレジットカード情報入力フォームに入力情報が第三者に送信される不正プログラムが設置されていたことによるものです。
(公式発表より引用)
キタきつねの所感
やはり・・というのが正直な所です。前回4/3記事にも書きましたが、ECサイトへの攻撃者が個人情報を窃取しただけで満足するとは思えないとの予想は当たってしまっていました。
前回3/31に個人情報(新規会員登録情報)が5,009件漏えいした可能性がある発表し、今回新たに4,509件のカード情報漏えいの可能性があると発表されましたが、1か月程度の侵害期間中でこれだけのカード決済がされていたのは、人気料理研究家の栗原はるみ&心平氏のECサイトならではと言うべきかも知れません。
参考:個人情報漏えいに関するお詫びとお知らせ | ゆとりの空間の通販(3/31)
1/27に「ページ遷移」について顧客からの問い合わせがあって、今回の事件が発覚していたのは、ECサイト側にとって幸運であったと言えそうです。
※カード情報インシデントの検知者として一番多いのがクレジットカード会社(からの連絡)ですが、カードの不正利用があってから発覚するので数か月以上侵害されているケースが多いかと思います。
侵害の部分に関しては、前回記事にも書きましたが、EC-CUBE(実装)の何らかの脆弱性を突かれて、ページ改ざんがされた(※伊織のインシデント同様に偽サイトに飛ばされる攻撃だった)可能性が高い様です。
前回記事と重複しますので詳細は割愛しますが、EC-CUBEが人気のオープンソースソフトウェアであるが故に「また狙われた」と思います。
また、事件原因の詳細部分は公表されていませんが、v2.13を利用していたと推定される事から、(先延ばしにした)「バージョンアップ」問題でもあった可能性もあるかも知れません。
前回記事参考:
foxsecurity.hatenablog.com
前回の公式発表を改めて読み直したのですが、結構な個人情報が漏えいしていました。ECサイトである事を考えると、配送に関わる情報を入力してもらう事は当然の事ではありますが、生年月日、会社名、職業、FAX、”パスワードのヒント”は、顧客分析の上ではサイト側にとって重要な項目ではあるかと思いますが、Facebookに関連するインシデントでも問題となりましたが、「何のために使うのか?」という顧客の声なき声に、ECサイト側ももう少し敏感になるべきではないかと思います。
(1)漏えいした可能性がある個人情報と件数
2020年12月8日~2021年3月9日の期間中に、当サイトで新規会員登録をされた5,009件の以下情報。
・お客様名
・会社名(入力任意項目)
・郵便番号、住所
・電話番号
・FAX番号(入力任意項目)
・メールアドレス
・性別
・職業(入力任意項目)
・生年月日
・パスワード
・パスワードを忘れた時のヒント
・希望メールマガジン
今回のインシデントにおける個人情報漏えいでは、メールアドレスと、パスワード、パスワードヒントが漏えいしていますので、他サイトでの”悪用”が懸念されます。パスワードの使い回しによる、他サイトでの不正アクセスの悪用だけでなく、”パスワードを忘れた時のヒント”によってパスワードリセット攻撃が発生する可能性も考えられます。サイトの作り方に拠るとは思いますが、2次被害も留意すべきかも知れません。
因みに、パスワードのヒント(秘密の質問)は、NISTで非推奨となっています。
Memorized secret verifiers SHALL NOT permit the subscriber to store a “hint” that is accessible to an unauthenticated claimant. Verifiers SHALL NOT prompt subscribers to use specific types of information (e.g., “What was the name of your first pet?”) when choosing memorized secrets.
記憶された秘密の検証者は、認証されていない請求者がアクセス可能な「ヒント」をサブスク ライバーが保存することを許可してはならない。検証者は、記憶された秘密を選択する際に、特定のタイプの情報(例えば、 「あなたの最初のペットの名前は何ですか?」)を使用するようにサブスクライバーに促 してはならない。
(NIST SP800-63Bより引用)
参考:役立たずの烙印、パスワードにまつわる「秘密の質問」 | 日経クロステック(xTECH)
最後に、今回「ゆとりの空間」が出した再発防止策は、多くのECサイトにヒントになるかと思います。”インシデントが発生する前に”、参考にして頂ければと思います。
7.再発防止策
今後二度と同様の事案を起こすことのないよう、以下の取組みを行い、当サイトのセキュリティ強化に努めて参ります。なお、情報漏えいの原因となった不正プログラムについては削除・修正が完了しております。
(1)決済方式の変更を含め、セキュリティレベルの高いサイトへの再構築を進めて参ります。
(2)システムの脆弱性診断を定期的に実施し、セキュリティ対策を強化して参ります。
(3)脆弱性対策として必要なプログラムの修正や適切な対処を実施、監視体制を強化してサイトの運用を行って参ります。
(4)上記(1)~(3)が適切に行われることの継続的な確認を含む、全社のセキュリティ管理体制を強化し、改善に努めます。
(公式発表より引用)
若干(想像で)補足します。
(1)はEC-CUBEではない別な仕組みに移転するという事かと思います。
(2)は多くの非保持サイトに最も欠けている事かと思います。脆弱性診断すらせずに、脆弱性を放置するので、”やられている”ECサイトが多いと個人的には思います。
※定期的な脆弱性診断は、PCI DSSのSAQでも要求されている事項です。クレジットカード・セキュリティガイドラインでは、直接的な文言では書かれていませんが、それと読み取れる留意事項が追記されています(P17)。
(3)はEC-CUBEv2.13から更新していない事や、監視がおろそかだった事を指しているのだと思います。予算などの問題があり脆弱性診断の実施がなかなか難しいのであれば、(3)をしっかりやる事が重要かと思います。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
