※調査が遅くなっていますが、1月分のカード情報漏えい発表を調べております
scan.netsecurity.ne.jp
公式発表
・弊社が運営する「e-ca公式サイト」における個人情報漏えいに関するお詫びとお知らせ (1/11) 魚拓
2.個人情報漏洩状況
(1)原因
弊社がe-ca公式サイトにて利用しているショーケース社のサービスが第三者により不正に改ざんされたため。
(2)個人情報漏洩の可能性があるお客様
2022年7月24日~2022年7月26日の期間中に「e-ca公式サイト」においてクレジットカード情報の入力をされたお客様15名で、漏洩した可能性のある情報は以下のとおりです。
・クレジットカード番号
・有効期限
・セキュリティコード
キタきつねの所感
1月のカード情報漏えい発表の多くが昨年10月に侵害を発表したショーケース社のサイト最適化・フォーム入力支援のサービス経由での流出となっているので、あまり目新しい事は無いのですが、レンタルWi-Fiサービスを提供するベストリンク社も軽微な被害を受けていた様です。
被害件数が15件と軽微だったのは、他社でしたがWi-Fiレンタルでお世話になった事のある(主力の)海外旅行がまだ自粛ムードだった去年の夏だったからかと思われます。
今年は久々に海外旅行の計画を立てられている方も多いかと思いますが、被害は軽微だったとは言え、ベストリンク社は現時点でカード決済が再開できていない事もあり、GW(夏休み)には多少影響が出てくる気がします。
先日記事を書いたカバーマークの件で、直近のショーケース社の被害をまとめましたが、改めて下記に掲載します。(現時点で12 ECサイトが情報漏えい被害を公表しています)
改めてショーケース関係の被害リリースをまとめてみると、現在までの所で(少なくても)12のECサイトが被害を出している事がわかります。
2月に入ってリリースは確認できていませんので、ショーケース社の昨年7月の侵害事件に伴う派生被害(サプライチェーン攻撃)がそろそろ終わりかな?とも思うのですが、ショーケース社のサービスは多くの(他の)企業でも利用されていた事を考えると、まだ出てくるかも知れません。
最後に・・公式発表を読んでいて、ふと疑問に思ったのが以下の所です。
5.再発防止策ならびにe-ca公式サイトにおけるクレジット決済の再開について
弊社はこのたびの事態を厳粛に受け止め、より一層のセキュリティ対策の強化を行い、再発防止を図ってまいります。
サービスプロバイダーが侵害されて2次被害に遭っている事を考えると、言葉では再発防止策と書かれていますが、どういった(効果的な)対策をすべきなのかが1コンサルとして思いつきませんでした。
多層防御と言ってしまえば、お茶は濁せるのですが、ソースコード診断やショーケース社に対する脆弱性診断といったものが難しい事を考えると、ECサイト側で採れる手段としては監視位しか思いつきませんでした。
※セキュリティ認定?とも考えたのですが、ショーケース社は(スコープは分かりませんが)ISMSとPマークを取得していた事を考えると・・・PCI DSS準拠を(直接的にカード情報は取り扱わないものの)求める位しかない気がします。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴