ブランド古着の通販サイトからカード情報漏えいの可能性があると発表されていました。
www.itmedia.co.jp
公式発表
・弊社が運営する「ベクトルパーク」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ(2022/8/18, 株式会社 ベクトル)魚拓
2.個人情報漏洩状況
(1)原因
弊社が運営する「ベクトルパーク」のシステムの一部の脆弱性をついたことによる
第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたた
め。
(2)個人情報漏洩の可能性があるお客様
2020 年 4 月 27 日~2021 年 12 月 22 日の期間中に「ベクトルパーク」において、
クレジットカード決済をされたお客様 18,136 名で、漏洩した可能性のある情報は
以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
・ログオン ID
・パスワード
キタきつねの所感
調査する時間がなかなか取れず、少し記事が遅れてしまいましたが、8/18発表のECサイトを改めて調査してみました。
結論から先に書きますと、汎用のECサイト構築パッケージが使われているかどうかは分かりませんでした。
※本記事はサブスクではなく普通記事とします
インシデントの公式発表を見ると、非常に珍しいルートからカード情報漏えいの連絡を受けている事が分かります。
侵害を受けたECサイトのほとんどは、クレジットカード会社から連絡を受けます。以前調べた際には概ね以下の様な比率でした。
①クレジットカード会社(決済代行会社)約70%
②自社(又は運営依託会社)約20%
③顧客 約10%
改めて2019年~2022年現在までのカード情報漏えいインシデントの公式発表を調べ直してみたのですが、驚くべき事にインシデントの検知者(第1発見者)に『警察』の名前はありませんでした。
そう考えると、今回のインシデント検知はかなりレアな事例だった様です。
公式発表には他のインシデント発表では見ない変わった記載もありました。
所轄警察署の岡山県警サイバー対策課より、弊社運営の「ベクトルパーク」より、不正に情報が送信されている可能性があると連絡を受け・・・
岡山県警が不正送信している所を監視している・・・とは(サイバー対策課の活動内容のページを見る限り)あまり考えられないのですが、他のインシデントを調査している中で、今回の侵害に繋がる痕跡を警察が確認した為にインシデント検知に繋がったという事も考えられるかも知れません。
(以下根拠はありませんが)2022年になって岡山県警の管轄下(≒岡山県の企業)でインシデント発表があったのは、例えば「宗家源吉兆庵」があります。
foxsecurity.hatenablog.com
魚拓サイトを使って侵害期間中(2020/4/27~2021/12/22)のデータを見てみたのですが、汎用のECサイト構築パッケージの痕跡は見つけられませんでした。
ソースコードを見ている中で少し気になったのが、サードパーティのJavaScript利用が多い事です。デザインや顧客のユーザービリティを考えるとJavaScriptが多用されるのは当然と言えば当然なのですが、アフェリエイトプログラムが3つ(a8、valuecommerce、felmat)確認できました。
3つも必要なのか?・・・と素人視点では思ってしまうのですが、マーケティング(アフェリエイト収入)部分はさておき、セキュリティ視点だとJavaScriptが改ざんされてカード情報を窃取するスキマー(悪意のあるコード)が挿入された際に、ECサイト側が気づきにくい(監視しにくい)環境にある様にも思えます。
今回の侵害原因が何であったのかは具体的に分かりませんが、不正なコードを挿入されたとしても、ECサイト側が監視によって気づける環境を整備する事が重要かと思います。
(上記の諸々の推測が合っており)他のインシデントを警察が捜査をしていなかったとしたら、もっと長期間ECサイトが侵害され続けて影響範囲が更に拡大していた可能性もある気がします。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
