Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

「CHARLE WEB STORE」からのカード情報漏えい

女性向けの衣料品等を販売するシャルレのECサイトからカード情報漏えいが発表されていました。

※遅ればせながら1月分の不正アクセスインシデントを調査しています

scan.netsecurity.ne.jp

 

公式発表

弊社ウェブサイト「CHARLE WEB STORE (シャルレ ウェブストア)」へのサービス提供会社における個人情報漏えいのおそれに関するお詫びとお知らせ(1/24)魚拓

2.漏えいの可能性のある個人情報等
(1) 漏えいの可能性のあるお客様
以下の対象期間中に、当サイトのクレジットカード情報入力画面にて、後記(2)の
情報を新たに入力して決済されたお客様
①2022 年 7 月 19 日 07 時 49 分 55 秒から 2022 年 7 月 26 日 20 時 33 分 40 秒
②2022 年 7 月 26 日 22 時 31 分 02 秒から 2022 年 7 月 29 日 01 時 48 分 08 秒
(2)漏えいの可能性のある情報
・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

 

キタきつねの所感

シャルレのECサイトから、カード情報漏えいが発表されていました。この件もショーケース社のサービス(「フォームアシスト」及び「スマートフォンコンバータ」)が侵害された事によりカード情報の被害を受けた様です。

 

ショーケース関係では、現在までの所で(少なくても)12のECサイトが被害を出している様です。繰り返しのリスト掲載となりますが、サービスプロバイダーが短期間であっても侵害されてしまうと、影響が大きい事が改めて分かります。

事件公表日 企業名 侵害期間 カード漏洩件数 調査完了日 リリース
2022/8/4 出光クレジット 【重要】個人情報漏洩に関するお詫びとお知らせについて
2022/10/25 エービーシーマート 2022/7/24~7/26 非公表 2022/9/28 弊社が運営する「ABC-MART公式オンラインストア」における個人情報漏えいの可能性に関するお詫びとお知らせ
2022/10/26 出光クレジット 2022/7/19
2022/7/21~7/29
非公表 【重要なお知らせ/続報】個人情報漏洩に関するお詫びとお知らせについて
2022/10/26 株式会社ユーキャン 2022/7/24~7/26 200件 2022/8/12 弊社が運営する「生涯学習のユーキャン」サイトにおける個人情報漏洩に関するお詫びとお知らせ
2022/10/26 富士フイルムイメージングシステムズ 2022/7/19~7/29 851件 2022/10/11 弊社が運営するECサイト「FUJIFILMプリント&ギフト」への不正アクセスによるクレジットカード情報漏洩に関するお詫びとお知らせ
2022/10/26 富士フイルムイメージングシステムズ 2022/7/19~7/29 519件 2022/10/11 弊社が運営するECサイト「フジフイルムモール」への不正アクセスによるクレジットカード情報漏洩に関するお詫びとお知らせ
2022/11/1 カクヤス 2022/7/19~7/29 8,094件 2022/10/24 【重要】クレジットカード情報漏洩に関するお詫びとお知らせについて
2022/11/10 エスビー食品 2022/7/19~7/29 164件 2022/10/19 クレジットカード情報漏えいに関するお詫びとお知らせ
2022/11/15 日本出版販売 2022/7/19~7/28 427件 2022/10/27 不正アクセスによるクレジットカード情報流出に関するお詫びとお知らせ
2023/1/10 カバーマーク 2022/7/19~7/26 2,259件 2022/12/8 お客様情報漏洩の可能性に関するお詫びとお知らせ
2023/1/11 ベストリンク 2022/7/24~7/26 15件 2022/11/11 弊社が運営する「e-ca公式サイト」における個人情報漏えいに関するお詫びとお知らせ
2023/1/19 長寿乃里  2022/7/19~7/29 37件 クレジットカード情報漏洩に関するお詫びとお知らせについて
2023/1/24 シャルレ 2022/7/19~7/26 605件 2022/10/19 弊社ウェブサイト「CHARLE WEB STORE(シャルレ ウェブストア)」へのサービス提供会社における個人情報漏えいのおそれに関するお詫びとお知らせ

ショーケース社からのカード情報法漏えいに関しては、日経新聞で2/20に注意喚起(解説)記事が出ており、ソフトウェアサプライチェーン攻撃において、現在のセキュリティ対策(割販法・クレジットカード・セキュリティガイドライン)に抜け穴があると指摘しています。

www.nikkei.com

 

ショーケース社のサービスは入力フォームやWeb表示などを最適化するもので、サービス自体はカード情報を取扱うものではないので特にセキュリティ対策が求められてはいませんでした。昨今ECサイトの侵害で多いのは、ECカートシステムの脆弱性を突く攻撃であり、その多くがECサイト管理者が最新版のソフトを利用していない脆弱性を突かれ、あるいは管理者アクセスの保護が不十分である事からカードスキマーと呼ばれる不正なプログラムを、決済ページ(カード情報を入力するページ等)を盗み見する様に仕掛けられたことが原因であると推測されます。

 

ショーケース社は、ECサイトの外に位置した所からサイト最適化のサービスを提供していますので、被害を受けたECサイト側は正規のサービスとしか認識してなかったと思います。

その為、セキュリティはしっかりしていたと思われる”著名企業”も侵害を受けてしまったと考えられます。

 

この手の攻撃はMagecartと呼ばれるカード情報を専門に狙うAPT攻撃グループが得意としているものですが、最近はその手法を真似するグループも出てきている様ですので、(今回のショーケース社の被害規模がそこまで大きく無かった事から)そうした脅威アクターの攻撃だったのかと思います。

この手のソフトウェアサプライチェーン経由(搦め手)の攻撃では、Magecartが関与したと言われる2018年のBritish Airwaysのインシデントや、2019年のAdverlineのインシデントが有名です。

 

※以前作ったインシデント俯瞰図を参考まで貼っておきます

British Airways

■Adverline

 

これらの海外インシデントですが、(当時)日本ではあまり報じられなかった様に思います。それが、最近の日経記事において『クレカ情報の防壁に穴』と評せられる遠因になった気がします。

今回のショーケース社の関連インシデントを受けて、例年3月上旬に改訂リリースされる割販法のガイドラインである『クレジットカード・セキュリティガイドライン』にサードパーティ強化について、何らかの対策が記載されるのかと思いますが、カード情報をハンドリングしないサードパーティ(サービス)の全てにPCI DSS準拠まで要求するのは現実的ではないと思いますので、ECサイト側に脆弱性診断の実施と定期的にリスク評価(机上)をする程度になるのかな・・・と想像しています。

※WAFやCDNでカード情報の持ち出し(出口)部分で防ぐ事を推奨する様な記載も考えられますが、ガイドラインリリースまで時間が無い事を考えると、そこまで踏み込まない気がします。

 

■Magecart参考:Inside Magecart

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

女性用下着のイラスト

 

更新履歴

  • 2023年3月2日 PM