少し遅くなりましたが、ショーケース社の入力最適化ツールが第三者によりソースコードが書き換えられた事によって出光クレジット「ウェブステーション」からカード情報が漏洩した可能性があると公表されていた件について改めて調べました
scan.netsecurity.ne.jp
公式発表
・【重要】個人情報漏洩に関するお詫びとお知らせについて(8/4)魚拓
・【重要なお知らせ/続報】個人情報漏洩に関するお詫びとお知らせについて(10/26)魚拓
■不正アクセスに関するお知らせとお詫び(ショーケース社:10/25)魚拓
■個人情報漏洩の可能性がある会員様
以下の期間に、弊社会員サイト「ウェブステーション」の新規会員登録または再登録画面にて、お手続きを行った会員様が対象となります。漏洩した可能性のある期間は以下のとおりです。
7月19日(火)7:49 ~ 7月19日(火)7:58
7月21日(木)10:39 ~ 7月26日(火)20:33
7月27日(水)9:53 ~ 7月29日(金)0:20
また、漏洩した可能性のある情報は以下のとおりです。
クレジットカード番号
有効期限
セキュリティコード
生年月日
キタきつねの所感
※ショーケース社の関連インシデントに関しては記事(調査内容)に多少の差分はありますが、普通の方は1つご覧になれば十分かと思います。
ショーケース社のソフトウェアサプライチェーン攻撃では、出光クレジットはいち早く8月に初報(第1報)を出しており、既に関連記事を書いておりますので、下記記事を参照頂ければと思います。
foxsecurity.hatenablog.com
第2報の中身を見ると、第1報と少し差分があり、フォレンジック調査の結果が反映されて、侵害期間が当初の7/19~7/26とされていましたが、実際には7月19日の数分間と、7月21日~7月29日であったと修正されています。
以下の期間に、弊社会員サイト「ウェブステーション」の新規会員登録または再登録画面にて、お手続きを行った会員様が対象となります。漏洩した可能性のある期間は以下のとおりです。
7月19日(火)7:49 ~ 7月19日(火)7:58
7月21日(木)10:39 ~ 7月26日(火)20:33
7月27日(水)9:53 ~ 7月29日(金)0:20
第1報と第2報で発表内容にこれ以外は大きな差異は無いのですが、残念だったのが、実際のカード情報漏えい件数(影響範囲)が非公開となっていた事です。
他のECサイト侵害インシデントよりは侵害期間が短いので、影響を受けたカード会員は少ないものと予想されますが、出光カードの有効会員数は400万人以上いる事を考えると、短い期間と雖も多くの会員が影響を受けた可能性もあるかも知れません。
※ショーケース社のサービスを利用していた他の被害ECサイトで最も公表件数が多いのがカクヤスの8,094件ですが、被害期間はほぼ同じですので、同等の被害を受けていた可能性も考えられます。
比較的発表が早かった事もあり、出光クレジットの第2報には他のECサイトの公式発表には無い点も記載されていました。
弊社では、当該サービスの利用停止と切り離しを行うとともに、漏洩した可能性のある会員様のクレジットカードによる取引を継続してモニタリングを強化しており、不正利用の防止に努めております。
また、新たにご連絡した会員様含め、発生時から現在までカードの不正利用の発生はございませんので、ご安心いただきたくお願い申しあげます。
現在までの所、と書くべきかも知れませんが、実質的なカード不正が確認されていないというのは不幸中の幸いだったかと思います。
余談です。本インシデントとは関係がありませんが、闇市場に大きな影響力を持つロシアのサイバー犯罪者は、最近あまりカード情報を狙っていないとの下記の様な記事も出ています。
techtarget.itmedia.co.jp
国内のECサイトのカード情報漏えい発表は去年が極端に多かったので、今年はかなり減っていいますが、インシデント(公表)件数が減っているだけであって、大型のカード情報漏えい事件もあった事も影響し、カード情報漏えいの累計件数は過去最高の2018年に迫る勢いで推移しています。
攻撃ペースは、ウクライナ侵攻が始まった辺りから下落傾向ではありますが、攻撃側は”より効率的に”収益を得ようと動いている様にも感じます。その表れが、今回の様なソフトウェアサプライチェーン攻撃と考えると、他のサービサーも十分攻撃に警戒すべきかと思います。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
