日本最大級のビーズ・アクセサリパーツの通販サイトからカード情報が漏洩したと5/16発表されていました。
scan.netsecurity.ne.jp
公式発表
・弊社が運営する「Beads&Parts通販サイト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ (5/16) 魚拓
2.個人情報漏えい状況
(1)原因
本サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)クレジットカード情報漏えいの可能性があるお客様
2023年1月12日~2023年2月17日の期間中に本サイトにおいてクレジットカード決済をされたお客様1,771名で、漏えいした可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
キタきつねの所感
※少し前に公表されたカード情報漏えいインシデントを調べています。
被害を受けたビーピークラフト社の公式発表には、多くの他のECサイト侵害のケースとは少し異なる点がありました。
1点目は、インシデントに気づくきっかけとなった部分で、ECサイトを利用している顧客が『ECサイトが開けない』と連絡を入れています。
ECサイトの動作(支払いページ)がおかしい、といった顧客からの連絡というのはたまにリリース文で目にする事がありますが、”開けない”というケースでは、当該顧客のIDとパスが侵害(変更)された事によりログインできなかったというケース、あるいはECサイトに不正プログラムを仕込んだ影響で、ECサイト自体の動作に不具合が出た(不安定になった)といった事?と想像します。
公式発表では、相変わらず「システムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため」としか原因について説明がありませんので、想像の域を出ないのですが、漏えいした情報の中には「セキュリティコード」も含まれていますので、ECサイト自体にカードスキマー(カード情報を窃取する不正なコード)が仕掛けられていたのは間違いないかと思います。
魚拓サイトを使って「Beads&Parts通販サイト」が利用していたであろうカートシステム(市販パッケージ)の痕跡を探してみたのですが、特に手がかりを見つけられませんでした。もしかすると自社開発サイトだったのかも知れません。
一方で攻撃者側のプロファイリングですが、侵入期間が比較的短い(2023年1月12日~2023年2月17日)事、そしてカード会社からカードの不正利用の連絡があったのが、2月17日の3日後の2月20日である事から、2月17日にカード決済停止を受けて、慌ててそれまでに窃取できていたカード情報を不正利用(現金化)したものと推測されます。
違う見方をすれば、2月17日に顧客が”通販サイトが開かない”と連絡をした際に、攻撃者側が何らかのミスをした様に思えます。一般的にはカード情報を窃取する攻撃者は静かに気づかれないようにECサイトを侵害する事が多いのすが、結果としてECサイト(管理者)にインシデントを気づかせてしまった事から考えると、攻撃者は比較的”初心者”で本来使ってはいけない攻撃ツールを使ってサイトに影響を与えてしまった、そんな様な背景であり、攻撃者側がミスをした事によって、「Beads&Parts通販サイト」の被害が最小限で抑えられた・・・そんな可能性を感じます。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
