少し遅くなりましたが、ショーケース社の入力最適化ツールが第三者によりソースコードが書き換えられた事によって「カクヤスネットショッピング」からカード情報が漏洩した可能性があると公表されていた件について改めて調べました
www.itmedia.co.jp
公式発表
・【重要】クレジットカード情報漏洩に関するお詫びとお知らせについて (11/1)魚拓
■不正アクセスに関するお知らせとお詫び(ショーケース社:10/25)魚拓
(1)原因
ショーケース社システムの脆弱性をついた第三者の不正アクセスにより、ショーケー
ス社のサービスのソースコードの書き換えがなされたため。
(2)漏洩情報
2022 年 7 月 19 日(火)07 時 50 分 00 秒~7 月 29 日(金)01 時 49 分 32 秒の期間に、弊社通販サイト「カクヤスネットショッピング」のクレジットカード情報入力画面にて入力された一部のお客様(8,094 件)が対象となり、漏洩した情報は以下のとおりです。
・クレジットカード番号
・有効期限
・セキュリティコード
キタきつねの所感
※ショーケース社の関連インシデントに関しては記事(調査内容)に多少の差分はありますが、普通の方は1つご覧になれば十分かと思います。
ショーケース社のソフトウェアサプライチェーン攻撃による被害は、カクヤスを含めて7サイトが公表しており、ほぼ同じ時期に攻撃を受けたECサイトの中で一番被害件数が多かった(8,094件)のがカクヤスとなります。
魚拓サイトを使って侵害期間中(2022/7/19~7/29)のECサイトを調べていたのですが、結論から言うと、ショーケース社のAPIは(どこかに呼び出しがあったのかと思いますが)見つけきれませんでした。
カード情報非保持の他、カクヤスECサイトの事件当時のセキュリティは決して低いものではなかった様に感じました。例えばログイン画面でのアカウント無効化は、”アカウントロック(一時凍結)”ではない事に、パスワードリスト攻撃等への対抗阻止としては、他のECサイトではあまり見かけない内容です。
もう1つ公式発表から読み取れるのが、カクヤスがSOCサービスを利用していた事です。
また、「カクヤスネットショッピング」の当社システムは、24 時間 365 日の第三者
によるセキュリティ監視システムを導入しており、上記期間を含めてその前後での異
常の検知はされておらず、「カクヤスネットショッピング」システムからの情報漏洩
はございません。
カクヤスのECサイトのセキュリティ対策に問題が無くても、そしてSOCで監視していても、(正常通信に見える)API連携していたサービサー(ショーケース社)側が侵害を受けてしまうと、ECサイトが被害を受けてしまう。これがサプライチェーン攻撃の恐ろしい所だと思います。
※大阪急性期総合医療センターのランサム被害も構図は似ている気がします
時系列も確認してみましたが、ショーケース社からWeb入力支援ツールが第三者に改竄された可能性があり、カード情報が漏洩した可能性があるとカクヤス側が伝えられたのは7/28で、すぐにサービスを利用停止・切り離しを実施していますが、カード情報漏えい(の最大期間)は7/29まで続いていて1日長い様に思えますが、作業も考えると”誤差”の範囲内な気がします。
またインシデントを受けて、JavaScript型からより安全性の高いカード情報非保持を実現するリンク型へ変更するとも発表している事から、他の被害を受けたサイトに比べてもカクヤスはセキュリティ強化に前向きである事が分かります。
他に取れる対策は無いか?と考えた場合、決済ページに繋がる(影響を与える)API連携、JavaScriptコードは、例えその利便性が高いと判断される場合であっても「自社側にコードを持っておく」事が難しいのであれば、外部コードを利用しない事が望ましい気がします。
こうした決済ページを要塞化は「言うのは簡単」ですが、実際は色々あって難しい事であるとは思いますが、外部のライブラリ、連携しているAPI、”広告配信”まで含めて悪意あるコードが「決済ページ」に入りこんでくる可能性を考慮する事は、デジタルスキマー(Magecart)対策を考える上で重要な気がします。
ECサイトによって環境(講じるべき対策)は違うかと思いますが、脆弱性診断、SOCや改竄検知、そしてCDN機能の活用といった事は検討しておくべきかと思います。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
