カード漏洩事件がまたSecurity Nextで報じられているのに気づきました。EC-CUBEの記事ばかりで飽きている方も読者の方には多いかも知れませんが、、記事を書きたいと思います。
www.security-next.com
■公式発表 弊社が運営する「ビバリーホームページ」への不正アクセスによるクレジットカード情報流出に関するお詫びとお知らせ
(1)原因
弊社が運営する「ビバリーホームページ」のシステムの一部脆弱性をついたことによ
る第三者の不正アクセス
(2)個人情報流出の可能性があるお客様
2019 年 5 月 8 日~2019 年 5 月 15 日の期間中に「ビバリーホームページ」においてク
レジットカード決済をされたお客様 8 名で、流出した可能性のある情報は以下のとお
りです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
(公式発表より引用)
◆キタきつねの所感
カード情報漏洩事件の多くはカード会社(決済代行会社)や警察からカード情報漏洩の疑いの連絡を受けて、調査をしてカード情報漏洩が判明する事が多いのですが、ビバリー社の場合、幸運にもユーザが怪しげな動作に気づいたので(2度カード情報を入力する部分を経験されたのだと思います)、被害件数が8件と非常に少ない状態で抑えられた気がします。
2019 年 5 月 15 日、お客様からクレジットカード決済不具合のお問い合わせに対し、弊社にて調査したところフィッシングサイト(偽のクレジットカード番号入力画面)へ誘導される事象が確認され、同日弊社が運営する 「ビバリーホームページ」でのカード決済を停止いたしました。
(公式発表より引用)
一方で、ECサイト側は・・・まったく他ECサイトのカード漏洩事件を自分事として考えて無い気がします。ほとんど警戒をしてないECサイトが多いのは、油断としか言いようがありません。
ビバリー社のホームページ構成を魚拓サイトから確認したところ、やはりEC-CUBEでした。漏洩事件自体は少し前に起きている訳ですが、件数が減らないどころか増えていることから考えると、まだ出てくる、そんな悪い予感しかしません。
余談です。EC-CUBEユーザかどうかの事後調査に慣れてきた気がします。何の自慢にもなりませんが。。。EC-CUBEの証跡は以下で判断しました。
https://www.be-en.co.jp/js/css.js
併せて、規約ページもやはりEC-CUBE独特な(標準的)URLでしたので、EC-CUBEで間違いないかと思います。
尚、再発防止策ですが、、、
4.再発防止策ならびに弊社が運営するサイトの再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
(公式発表より引用)
普通にそれっぽい事が書かれていますが、恐らく管理者IDの保護が不十分であった(IDとパスの管理が弱い)のではないかと思います。その場合は・・・もっと初歩的な所から、改善すべき(関係者は皆教育を受けるべき)ではないでしょうか。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
