※調査が遅くなっていますが、1月分のカード情報漏えい発表を調べております
scan.netsecurity.ne.jp
公式発表
・お客様情報漏洩の可能性に関するお詫びとお知らせ(1/10)魚拓
2.クレジットカード情報漏洩状況
(1)原因
ショーケース社のサーバーへの第三者の不正アクセスにより、当社ECサイトにおいて導入していた、ショーケース社が提供する以下サービスのプログラムが改ざんされたため。
・フォーム入力支援システム「フォームアシスト」
・サイト内にバナーを表示するシステム「サイト・パーソナライザ」
(2)漏洩の可能性のある件数
2022年7月19日~2022年7月26日にカバーマーク公式オンラインショップにおいてご注文時にクレジットカード決済をされたお客様のクレジットカード情報 2259件
(3)漏洩の可能性のある項目
クレジットカード番号、有効期限、セキュリティコード
キタきつねの所感
昨年10月に不正アクセス被害を発表したショーケース社顧客のカード情報漏えい発表です。カード情報漏えいの発表”サイクル”の時差に少し違和感を覚える方も多いかと思いますが、侵害が確認されてから半年程度は詳細発表までかかる事が多いので、やはり出てきたか・・と感じます。
サイト最適化・フォーム入力支援サービスがECサイトで使われていたとすれば、そのサービスへの侵害に成功した攻撃者は当然の事ながら、個人情報だけでなくカード情報も狙っていた、その答え合わせがこうしたリリースなのかと思います。
改めてショーケース関係の被害リリースをまとめてみると、現在までの所で(少なくても)12のECサイトが被害を出している事がわかります。
比較的早めに侵害を検知できた事もあり、被害を受けた全てのECサイトで7/30日以降はカード情報の漏えいは発生していませんが、約2週間の攻撃だったにも関わらず、1月になってもまだリリースが出てくるという事実は、フォレンジック調査の完了日を見ると透けて見えてくるのですが、一気に調査が出来ない(調査リソースには限界がある&各企業での調整に時間がかかった)事を物語っています。
また、金融業界ではカードブランドルールに則って侵害事案が発生した際には”フォレンジック調査”が必須とされるのでリリースは詳細調査を待ってから、というECサイトが多い事が影響しているのかと思いますが、侵害の事実をショーケース社から昨年7月には全てのECサイトが連絡を受けていただろう事を考えると、公表が遅い所が多い気がします。
今回のインシデントでは関係者調整が難しかったのだろうと推察しますが、本来はショーケース社がきちんと影響範囲を明記したリリースを出すべきだったと思います。
※昨年同様にサービスプロバイダーとして侵害を受けたメタップスペイメント社は、何度かのリリースを出しており、その中では最大のカード情報漏えい件数(影響範囲)を明記しています。
五月雨に各ECサイトがインシデント発表をしている(長引いている)原因の一端は、ショーケース社のインシデント対応にあるのではないでしょうか。
※尚、以前もどこかのインシデント記事(ショーケース社関連)で書きましたが、ショーケース社の”導入事例”を調べてみると、大手企業が結構名を連ねています。おそらく影響は無かったのだろうと思いますが、もしかすると2月に別な”リリース”が出てきてしまう事を懸念しています。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
