中古の産業用部品や制御機器を取扱うサイトからカード情報が流出した可能性があると公表されていました。※7月分に遡って調査しています。少し時間が空いてしまいましたので一般記事として公開します。
xtech.nikkei.com
公式発表
・弊社が運営する「FA機器.com」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ(7/10)
2. クレジットカード情報等及び個人情報漏洩状況
(1) 原因
弊社が運営する「FA機器.com」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2) クレジットカード情報漏洩の可能性があるお客様
2021年3月31日~2022年12月6日の期間中と2022年12月21日に「FA機器.com」においてクレジットカード決済をされたお客様5,877名で、漏洩した可能性のある情報は以下のとおりです。
①2021年3月31日~2022年12月6日にクレジットカード決済をされたお客様で、漏洩した可能性のある情報。
クレジットカード番号
有効期限
セキュリティコード
メールアドレス(FA機器.comのログインID)
FA機器.comのログインパスワード
電話番号
②2022年12月21日にクレジットカード決済をされたお客様で、漏洩した可能性のある情報。
クレジットカード名義人名
クレジットカード番号
有効期限
セキュリティコード
キタきつねの所感
FA機器の取り扱いという事で、個人よりも法人の顧客が多かったのではないかと推測されます。カード情報の漏洩件数は最大6,364件(個人情報は26,394件)と大量という訳ではありませんが、不正(実)被害もカード限度額が比較的多かったと思われるだけに多かったでしょうし、カード切り替えを含め大変だったのではないかと思われます。
侵害の原因部分については、他のカード情報漏洩インシデント同様に”システムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため”との発表になっており、それが何を指すのかが分からない表記となっていて、他のECサイト運営者にほとんど参考(気づき)にはなりません。
※先日NISCのメールが侵害された事を受けて出したリリースを受けてのものと思われますが、リリースに侵害原因を明示しなかった事についてJPCERT/CCが苦言を呈する記事を出しています。繰り返しこのブログで書いていますが、カード情報漏洩時の”悪しき風習(原因を明示しない事)”も、こうした意見を参考に変えていくべきではないかと思います。
原因(の一端)を探るため、魚拓サイトを使って調べてみます。
侵害期間中(2021年3月31日~2022年12月6日、12月21日)の魚拓データがありましたので、こちらを見ていきます。
トップページのソースコードを見てみると・・・EC-CUBE3系(v3.0.16)を利用していた様です。
EC-CUBEv3.0.16のリリースは2018年4月で、3系は2019年に3.0.18まで出ている事を考えるとFA機器.comは、EC-CUBEのアップデートをしてこなかった(脆弱性リストをウォッチものしていなかった)ものと推測されます。
EC-CUBE3系で侵害の原因となった脆弱性をリストから考えてみると、2021年6月に公表されたクロスサイトスクリプティングの脆弱性(JVN#95292458)が怪しい気がします。
www.ec-cube.net
※公式発表において原因が明示されていませんので上記は推測の域を出ませんが、XSS攻撃でカード情報が漏洩したケースは過去にいくつもあり、下記の記事などが参考になるかと思います。
xtech.nikkei.com
businessonline.trendmicro.co.jp
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
