Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

グラントマトオンラインショップからのカード情報漏えい(オムニEC)

9月に不正アクセスを受けて個人情報漏えいが発生した可能性がある事を発表していたグラントマトオンラインが、詳細調査の結果、カード情報も漏えいしていた可能性があると追加発表されていました。

www3.nhk.or.jp

 

公式発表(グラントマト株式会社)

不正アクセスによる個人情報流出の可能性に関する調査結果のご報告, 2021/11/15 (魚拓

2.個人情報流出状況
(1)原因
本件 EC サイト制作・運用委託先(東芝テック株式会社〈東京都品川区〉および株式会社ジーアール〈京都市中央区〉)のシステムへの三者による不正アクセス

(2)情報流出の可能性があるお客様
2021 年 4 月 26 日から 2021 年 8 月 19 日までの間に、本件 EC サイトでクレジットカード番号を入力されたお客様(対象:3,101 件)。
(中略)

(3)流出した可能性のある情報の項目
①該当期間中に本件 EC サイトでクレジットカード番号を入力されたお客様
・クレジットカード番号
 ・有効期限
 ・セキュリティコード
 ・メールアドレス
 ・氏名(仮名も含む)
 ・郵便番号、住所
 ・高度に暗号化されたパスワード
 ・電話番号
 ・生年月日
・初回/最終購入日 累計購入回数/金額
 ・注文番号、支払方法、購入金額、受発日、入金日
・(任意)性別、職業、FAX、注文時のお問い合わせ文

 

キタきつねの所感

東芝テック社(ジーアール社)が提供したオムニEC関連での情報漏えいインシデントとしては、11/16現在で、8社ニュースリリースを出しています。この内、顧客の個人情報のみならず、カード情報まで漏えいしたと発表しているのは、今回のグラントマトと先日リリースが出たベイシア3社となります。

 

【カード情報+個人情報漏えい】を発表(3社)

ベイシア(11/1)

杏林堂薬局  (11/10)

グラントマト(11/15)

 

【個人情報漏えい】を発表(6社→5社)

サミット(9/16)

天満屋ストア(9/16)

丸久(9/16)

マルヨシセンター(9/16)

リウボウストア(9/17)

グラントマト(9/17) ⇒カード情報漏えいを11/15に発表

 

正直に言えば、前回9月の各社発表を受けて記事を書いた際に、9月発表の被害企業からカード情報漏えいの発表が出てくる可能性がある事は予想していました

foxsecurity.hatenablog.com

 

魚拓サイトで確認した限り、オムニECのECサイト構築に関してはEC-CUBE3系(同じバージョン)をベースとして利用している様でした。そして、3系で顧客情報≒顧客DBへの不正アクセスが成功した場合、攻撃者はカード情報『も』狙うであろう事は容易に推測できます。

 

オムニEC系の発表は合計3件となりましたので、先行して個人情報漏えいを発表した5社の内の何社かは、フォレンジック調査の結果次第ではありますが、遅れてカード情報漏えいの第2報を出してくる事が十分に考えられます。

 

尚、漏えいした可能性のある個人情報に比べて、カード情報漏えい件数はそう多くはない印象(ベイシア:3,101件、杏林堂薬局:322件、グラントマト:349件)ですが、店頭での販売がメインで、ECサイトはその補完機能であるのかと推測します。

 

前回記事でも書いていますが、多くの名前が知れた小売業企業の顧客に対しては、東芝テックジーアール社)は、(実際はどういった提案をしていたのかは分かりませんので以下推測になりますが)結果から考えると、もっと、セキュリティ提案(パッチ当て、他のスキームへの移行)をすべきだったのではないでしょうか。

併せて、顧客企業側も例えば1年に1回は、『セキュリティ対策』がどうなっているのか、大きな脆弱性が発見されてないかどうか(自社サービスを適切にチェックしているのか)、サービス提供者に『確認する』事を意識すべきでないかと思います。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 トマト祭りのイラスト

 

更新履歴

  • 2021年11月16日 AM