教材販売サイト「CHUOHネットショップ」に不正アクセス、2,930件のカード情報漏洩の可能性

稼働システム

Webサイトの過去状況を提供するサービス「インターネットアーカイブ」にて2022年1月23日の同サイトのプログラムを確認のところ、プログラムファイル内に「EC-CUBE（イーシーキューブ）」の記載が確認されました。

同システムについては、2019年5月より決済画面の改ざんによるクレジットカード情報の流出被害が複数報告されたことから、公式サイト上でセキュリティ診断の必要性が喚起されております。また同年12月には、経済産業省からも同様の注意喚起が発表されております。

▼＜経済産業省＞株式会社イーシーキューブが提供するサイト構築パッケージ「EC-CUBE」の脆弱性等について（注意喚起）（2019/12/20）
https://www.meti.go.jp/press/2019/12/20191220013/20191220013.html

▼＜EC-CUBE公式＞【重要】サイト改ざんによるクレジットカード流出被害が増加しています（2019/05/09）
https://www.ec-cube.net/news/detail.php?news_id=330

「EC-CUBE」の決済画面改ざんの手口

「一般財団法人日本サイバー犯罪対策センター（JC3）」より、通販サイトの改ざんによるクレジットカード情報窃取の手口が紹介されております。

紹介されている手口では、クレジットカード情報を入力する画面が改ざんされており、入力された情報を窃取していますが、偽のエラーメッセージを表示して、再度、クレジットカード情報の入力を求めます。
その後は正規の決済手続に移行し、決済も正常に完了するため、運営側には改ざん前の通知と差異はなく、注文どおりの商品が後日に届くことから、購入者・運営者ともにクレジットカード情報が窃取されたことを把握することは困難になります。またこのような仕組みのため、カード番号だけでなく、セキュリティコードも窃取されます。

漏洩懸念から対象顧客への通知まで76日

公表内容には「個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡」とあり、2022年3月9日の漏洩懸念から78日経過しています。
また個人情報保護委員会への報告は2022年4月18日とあり、2022年3月9日の漏洩懸念から40日経過しています。
2022年4月1日施行の改正個人情報保護法では不正アクセス等、故意による場合は漏洩のおそれも含めて、個人情報保護委員会への報告と本人への通知を義務付けています。また改正法では、速報を5日以内、確報を30日以内（不正アクセスの場合は60日以内）に行う必要があると定められています。
>>【改正個人情報保護法】報告・通知が義務化

脆弱性の事前診断

脆弱性を速やかに把握できるよう、定期的な脆弱性診断の実施、診断ツールの導入

被害事例では、システムの脆弱性が狙われ、ペイメントアプリケーションの改ざんがあったことを把握しています。「ペイメントアプリケーションの改ざん被害」はEC-CUBEが導入された通販サイトにおいて複数確認されていたことから、他の被害サイトと同種の脆弱性が存在していたと思われます。定期的な脆弱性診断の実施により、未然に脆弱性を把握し、速やかに補修することで不正アクセスを抑制し、ファイルの改ざんを防ぐことが可能になります。

不正アクセス抑止機能（WAF）の導入

既知の攻撃による不正アクセスからWebサイトを保護する仕組みの導入

発見・公表から間もない脆弱性は補修作業が間に合わないケースも考えられます。不正アクセス抑止機能の導入により、脆弱性の補修が反映されていなくとも、攻撃を抑制できる可能性があります。

定期的な設定内容の確認

対象サイトはドメインに紐付けられたDNS情報から、他者と共同利用する共用サーバー上にて稼働していると思われます。共用サーバーには、不正アクセス抑止機能（WAF）が導入されている場合があります。これらの機能は管理画面にて設定を有効な状態にすることで、はじめて機能します。

・自社で運営されているWebサイトが、どのようなサーバーを利用しているか
・そのサーバーではどのようなセキュリティ機能が提供されているか
・その機能は有効な状態であるか

上記を年1回以上、見直すことで設定の漏れを防ぐことができます。

改ざん検知システムの導入

Webサイトの改ざんを速やかに把握し、被害を最小限に留める仕組みの導入

不正アクセスによりファイルが改ざんされた場合、改ざん検知システムの導入により速やかに検知することが可能です。改ざん検知システムには、検知のみを行うものの他、検知したファイルを過去に取得した安全なファイルに置き換え、自動で修復するシステムがあります。
通販サイトでの被害事例の多くは、決済代行会社からの連絡により漏洩懸念を確認していますが、改ざん検知システムの導入により、漏洩の懸念をより早い段階で検知することが可能になります。
また被害事例の対象期間は、2021年4月23日～2022年3月9日（321日間）と長期に渡っていますが、改ざん検知システムが導入されていれば、より早い段階で調査を開始、対象期間と被害件数を抑えることができた可能性があります。

通信の暗号化（SSL）

利用者から送られる個人情報を保護するための仕組みの導入

対象サイトの運営企業サイトの「個人情報保護方針について」ページでは

当社サイトは、お客様の個人情報をSSL（Secure Socket Ｌayer）により保護します。Netscape Navigator、Microsoft Internet Explorerといったセキュリティ機能に対応したブラウザを使用することで、お客様が入力される氏名や住所あるいは電話番号などの個人情報を暗号化して送受信します。

といった記載がありますが、企業サイト（chuoh-kyouiku.com）の通信は暗号化されていない状況（2022年6月3日時点）にあります。
※通販サイト「CHUOHネットショップ（shop-chuoh.com）」には通信の暗号化（SSL）が適用されています。

また記載されているブラウザ「Netscape Navigator」「Microsoft Internet Explorer」はともに、サポート（セキュリティ補修プログラムの提供）が終了した古いブラウザになり、安全ではありません。閲覧者から送られる情報を保護できるように、通信の暗号化（SSL）はもちろん、表記内容と実際の運用状況の整合性が保たれているかを継続的に確認することが重要になります。

保有する情報の内容・数量の定期的な確認

Webサイト内に格納されている情報を定期的に整理する運用ルールの策定と実施

不正アクセス等により、万一、流出事故が発生した場合に備え、被害を受ける方が1人でも少なくなるよう、Webサイトに格納する情報は必要最低限とする運用方針です。個人情報は可能な限り、インターネットが接続されていないオフライン環境へ移し、サーバー上には必要最低限の件数としておくことで、事故の際の被害範囲を最小限に抑えることができます。

※なお、個人情報保護法（第19条）では、個人データを利用する必要がなくなった際には、当該個人データを遅滞なく消去する努力義務が定められています。

個人情報保護法＜第19条＞データ内容の正確性の確保等

個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

引用：e-Gov法令検索

稼働システム

「EC-CUBE」の決済画面改ざんの手口

漏洩懸念から対象顧客への通知まで76日

被害企業概要

実施しておきたい対策

Case Study
その他のサイバー攻撃被害事例