スイーツパラダイスの通販サイトを利用したユーザが、クレジットカードが不正利用されたケースが多発している様です。

www.itmedia.co.jp

　Twitterでは9日午後8時ごろ、11月下旬に開催されたオンラインゲーム「原神」のコラボカフェイベントなどの際に同サイトでクレジットカード決済を行った人々から、上記のような報告が上がり始めた。海外のショッピングサイトやAppleなどの名義で身に覚えのない引き落としがあったという。

　ITmedia NEWS編集部が井上商事に問い合わせたところ「Twitterでの報告を見て気付き、被害が拡大しないよう公式通販サイトをメンテナンス中とした」と説明。「問題の原因が当社にあるのか、別のところにあるかを含めて現在調査中」としている。

 

公式発表（スイーツパラダイス）

・特に見当たらず（新着情報）（コラボ情報）

 

キタきつねの所感

スイーツなどが食べ放題サービスなどで有名なスイーツパラダイスのECサイトを利用したユーザが、カードを不正利用されたとTwitter等で多数発信しています。スイーツパラダイスはコラボ企画を頻繁に行っており、被害を報告したTwitterユーザの中には、11月下旬に開催された原神のコラボイベントでクレジットカード決済をした方が多かった様です。

 

コラボ情報がGame8（及びスイーツパラダイスHPに）ありましたので、下記引用しますが、

 

10月に店舗コラボ（限定グッツ販売）があり　⇒　スイーツパラダイス通販サイトでも10月下旬～11月上旬にかけてグッツ販売をしており、時期的に考えると10月下旬までには通販サイト側にカード情報を窃取するスキマーが仕掛けられ、不正利用被害に遭われた方が多数出たのかと思います。

 

Twitterでざっと探してみると、被害報告をされている方の投稿がいくつもありました。普通だと、こうした直接的に被害に遭われた（であろう）方の情報が表に出てくる事があまりないのですが、投稿には被害（請求してきた）サイトの情報も開示していた方もいたので、こちらを見ていきます。

え？スイパラで頼んでる原神、、

クレカ不正利用2回も海外の服屋で購入されてる、、のスイパラやったんか？

え、、信じられんQoo10やとおもってたらスイパラかよ、ふざけんなよ
クレカ止めたんだぞ、、

40000円ほど被害に遭ってます pic.twitter.com/eize8CEN9W

— わにぺろ　不正請求で死んでる (@m7ed7wanio) 2021年12月9日

私も不正利用されたので今日カード変えるんですけど、スイパラ通販だったんですね、、、😰
デビットカードだったので被害なく済みました、、、
初めてお金なくて良かったと思った、、 pic.twitter.com/5Or7Q9Y8dN

— yzr (@lan44522275) 2021年12月9日

当方はクレジットカードとキャッシュカードが一体になってるものだったのでその後銀行にも連絡しました。

拙い文章で申し訳ございません。
分からないところなどありましたら答えられる範囲ではありますがお返事致しますのでご連絡ください。
一刻も早く被害が無くなるようお祈りしております。

— ちっぷ (@chip_dalew) 2021年12月9日

話題のスイパラ通販 不正利用の件、僕のとこにも来ました！
なんだよ2万6000円って笑
もれなく全員漏れていると考えた方がいいです
まだ大丈夫でもそのうちやばいかもなので! pic.twitter.com/i0USpzys5N

— くすのき ＠原神＆Apex＆その他ゲーム (@Kusunoki_gaming) 2021年12月10日

噂のスイパラ不正利用被害、これですね。今めちゃくちゃ動揺してる。 pic.twitter.com/0FQbsWUJZK

— ゆーら (@yurayurara0987) 2021年12月9日

スイパラ通販利用した大多数の方々が不正利用されてるみたいなので私もカードの履歴見たら、あったわ、見に覚えのない不正利用…他の人より少額な方だとは思うけど、サイト検索してみたら海外のファッションサイトに飛んだ　国内でも服なんてめったに買わんのに、海外で買うわけねーだろ😇 pic.twitter.com/g4LYfXh5RV

— 🐣ひよ子🐣 (@NSHw5WBVugf2BEU) 2021年12月9日

スイパラで通販決済したクレカ、Appleで第三者に6万円不正利用されてました。Appleさんに問い合わせし返金可能か否か48時間後に結果が出るそうです。念の為被害届け出しに行きます。 pic.twitter.com/3CtfAuLPYD

— RAM❦ (@RAM_2th) 2021年12月10日

スイパラ不正利用ファッキュー！！！！
明日から電話凄く混んでそう(´д｀) pic.twitter.com/Y7aEhnssHQ

— おにっち🍵❖ gungnir (@Onicchi_Demon) 2021年12月9日

スイパラ通販サイトカード情報が漏洩し、不正利用された件カード会社が不正利用だろうと判断しカード利用を止めてくれたお陰で実害はないけど、実店舗でカードで支払おうとしたら突然カードが使えなくなったからそれで困った pic.twitter.com/XunPqGB8If

— 珠冬 (@mfyaqa_218) 2021年12月10日

一応画像くっつけておこう。こんな感じでした。普段使いそうな額で気付いてない可能性あるから、スイパラ通販でクレカ使った人はとりあえず明細確認を… pic.twitter.com/q0siGSCFac

— うどんこ (@UDON_oOoO) 2021年12月9日

【注意喚起】
私もイオンカードのクレカ払いで11月15日にスイーツパラダイス×第五人格へ行ったんだけど
11月19日にEARSEV . TOPっていう海外の代理支払い業者から謎の請求が来てました。

代理業者であることなどはカード会社のコールセンターの方が調べてくださって、今カードを停めて対応中。 pic.twitter.com/ptP23u9W65

— くろ@kokuno (@kokuno_5) 2021年12月9日

 

 

■上記投稿等から読み取れる事　※以下、想像を過分に含みます

①不正検知回避

まず不正請求額は3万円以下（を繰り返す）が多い様です。ここは、カード会社の不正検知を潜り抜けようとする攻撃者の意図が感じられます。

②攻撃時期

上記の投稿における不正購買期間は11月20日～12月10日となっています。この事からスイーツパラダイスのECサイトは、最長だと1か月弱侵入されて（カード情報を窃取されて）いたと見られます。

※限定販売期間は～11月上旬でしたので、単純に考えると、カード情報窃取から不正利用開始まで2-3週間前後の”差分”があるのですが、これは攻撃者が他の攻撃アクターにカード情報を”販売した”事による差分ではないかと推測します。

③被害を受けたユーザは「原神」だけではなさそう

スイーツパラダイスのECサイトは、限定グッツだけではなく、その他のグッツも同じサイトで販売していたと推測されます。

この推測が合っているとすれば、カード情報は原神グッツ以外を購入したユーザからも”窃取されていた”可能性が高い気がします。

※下記は、原神のグッツ販売のものではありませんが、Googleのキャッシュに他のコラボデータが残っていました。こちらを見ると、別な商品も（同時期に）販売している事が分かります。

 

④海外通販サイトとAppleでの不正利用

Apple（Apple.com)の不正購入が何であったのかは上記の投稿画像からは読み取れませんが、怪しげなURLの海外通販サイトの名前がいくつか出てきますので、海外の加盟チェックが甘いECサイトでカード情報の”現金化”を狙われた可能性があります。

 

■海外サイトについて

他にもあるかと思いますが、被害投稿から確認できたサイトは以下の七つです。

①GFAKD[.]FUN  （アクセス不可）

②VFTPR[.]TOP　（アクセス可）

③GJKHVCI[.]FUN（アクセス可）

④OCLTIK[.]SITE（アクセス可）

⑤LIHXTU[.]ICU （アクセス不可）

⑥EARSEV[.]TOP（アクセス可）

⑦ASTRIDZ[.]SHOP（アクセス不可）

 

この内、サイトへのアクセスが可能であった4サイトを見ていきます。

②VFTPR[.]TOP　サイト住所：ブタペスト（ハンガリー）

■Whois検索：登録：2021/11/9　登録者：Alibaba.com（SP)　登録国：中国（CN)

 

■トップページの一部ソース

 

③GJKHVCI[.]FUN　サイト住所：ハルデンベルグ（オランダ）

■Whois検索：データ取得できず

■トップページの一部ソース

 

④OCLTIK[.]SITE　サイト住所：ペルカータ（ハンガリー）

■Whois検索：データ取得できず

■トップページの一部ソース：他と類似性なし

 

⑥EARSEV[.]TOP　サイト住所：ブタペスト（ハンガリー）

■Whois検索：登録：2021/10/29　登録者：Alibaba.com（SP)　登録国：中国（CN)

■トップページの一部ソース

 

不正カード購入に利用されたとみられる、稼働が確認できたECサイト４つの内、3つがほぼ同じ痕跡を有していました。時期的にもカード情報を窃取し始めた時期と、偽？サイトの立ち上げ時期がほぼ同じなので、これらののサイトが攻撃者に息がかかったサイトであり、カード情報を現金化（ロンダリング）する事を目的としたサイトである可能性を感じます。

また、登録国が３つ全て”CN（中国）”だったのも・・・アクワイアラー（カード会社）がどこか分かりませんが、（審査後にすぐHPを入れ替えた可能性も考えられますが）加盟店審査が甘い所を、攻撃者側にうまく利用されている気がしてなりません。

 

最後に侵害を受けたECサイト（スイーツパラダイス）を調査します。

IT メディアの記事にも書かれていましたが、現在被害を受けたサイトは閉鎖中です。

 

魚拓サイトを探してみると、2021年12月1日のデータが見つかりました。

（Twitterで不正報告が挙がった事を検知してサイトを閉鎖した様です）

 

 

こちらのトップページのソースコードを見ると・・・EC-CUBE2系（v2.13）を利用していた事が分かります。

 

 

最近は3系サイトの侵害が多かったのですが、まだまだEC-CUBE2系も「現役」で稼働しており、その脆弱性を攻撃者は虎視眈々と狙っている事が伺えます。

現時点でスイーツパラダイスはフォレンジック調査中かと思いますので、数か月後に、どんな状況だったのかが、公式発表（答え合わせ）されるかと思いますが、状況から考えると、原神コラボの限定グッツを購入したユーザーと、それ以外にも被害を受けた方が出てくるのではないかと思います。

 

※スイーツパラダイスの通販サイトでここ数か月の間にカード決済を行った方は、カード利用明細を確認される事を強くお勧めします。

 

※本記事掲載情報の一部を、@ozuma5119さんからご提供頂きました。この場を借りて御礼申し上げます。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 

 

更新履歴

• 2021年12月11日 AM