- ホーム
- サイバー攻撃 被害事例
- 教材販売サイト「CHUOHネットショップ」に不正アクセス、2,930件のカード情報漏洩の可能性
2022年5月24日、中央教育研究所株式会社が運営する、進学塾・教師用教材を取り扱う販売サイト「CHUOHネットショップ」が第三者による不正アクセスを受け、クレジットカード決済を行った利用者 2,270名のクレジットカード情報(カード名義人名、クレジットカード番号、有効期限、セキュリティコード)2,930件が漏洩した可能性があることを公表しました。
Webサイトの過去状況を提供するサービス「インターネットアーカイブ」にて2022年1月23日の同サイトのプログラムを確認のところ、プログラムファイル内に「EC-CUBE(イーシーキューブ)」の記載が確認されました。
▼2022年1月23日時点のプログラムファイル
https://web.archive.org/web/20220123112746js_/https://www.shop-chuoh.com/template/default/js/eccube.js?v=3.0.16
同システムについては、2019年5月より決済画面の改ざんによるクレジットカード情報の流出被害が複数報告されたことから、公式サイト上でセキュリティ診断の必要性が喚起されております。また同年12月には、経済産業省からも同様の注意喚起が発表されております。
▼<経済産業省>株式会社イーシーキューブが提供するサイト構築パッケージ「EC-CUBE」の脆弱性等について(注意喚起)(2019/12/20)
https://www.meti.go.jp/press/2019/12/20191220013/20191220013.html
▼<EC-CUBE公式>【重要】サイト改ざんによるクレジットカード流出被害が増加しています(2019/05/09)
https://www.ec-cube.net/news/detail.php?news_id=330
「一般財団法人 日本サイバー犯罪対策センター(JC3)」より、通販サイトの改ざんによるクレジットカード情報窃取の手口が紹介されております。
紹介されている手口では、クレジットカード情報を入力する画面が改ざんされており、入力された情報を窃取していますが、偽のエラーメッセージを表示して、再度、クレジットカード情報の入力を求めます。
その後は正規の決済手続に移行し、決済も正常に完了するため、運営側には改ざん前の通知と差異はなく、注文どおりの商品が後日に届くことから、購入者・運営者ともにクレジットカード情報が窃取されたことを把握することは困難になります。またこのような仕組みのため、カード番号だけでなく、セキュリティコードも窃取されます。
公表内容には「個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡」とあり、2022年3月9日の漏洩懸念から78日経過しています。
また個人情報保護委員会への報告は2022年4月18日とあり、2022年3月9日の漏洩懸念から40日経過しています。
2022年4月1日施行の改正個人情報保護法では不正アクセス等、故意による場合は漏洩のおそれも含めて、個人情報保護委員会への報告と本人への通知を義務付けています。また改正法では、速報を5日以内、確報を30日以内(不正アクセスの場合は60日以内)に行う必要があると定められています。
>>【改正個人情報保護法】報告・通知が義務化
【引用】一般財団法人 日本サイバー犯罪対策センター/クレジットカード情報窃取の手口に注意(2019年7月12日)
※一般財団法人 日本サイバー犯罪対策センター:サイバー攻撃の脅威情報の事例や手法を共有することで、脅威の軽減や無効化を目指す非営利団体です。
対象サイトはドメインに紐付けられたDNS情報から、他者と共同利用する共用サーバー上にて稼働していると思われます。共用サーバーには、不正アクセス抑止機能(WAF)が導入されている場合があります。これらの機能は管理画面にて設定を有効な状態にすることで、はじめて機能します。
・自社で運営されているWebサイトが、どのようなサーバーを利用しているか
・そのサーバーではどのようなセキュリティ機能が提供されているか
・その機能は有効な状態であるか
上記を年1回以上、見直すことで設定の漏れを防ぐことができます。
対象サイトの運営企業サイトの「個人情報保護方針について」ページでは
当社サイトは、お客様の個人情報をSSL(Secure Socket Layer)により保護します。Netscape Navigator、Microsoft Internet Explorerといったセキュリティ機能に対応したブラウザを使用することで、お客様が入力される氏名や住所あるいは電話番号などの個人情報を暗号化して送受信します。
といった記載がありますが、企業サイト(chuoh-kyouiku.com)の通信は暗号化されていない状況(2022年6月3日時点)にあります。
※通販サイト「CHUOHネットショップ(shop-chuoh.com)」には通信の暗号化(SSL)が適用されています。
また記載されているブラウザ「Netscape Navigator」「Microsoft Internet Explorer」はともに、サポート(セキュリティ補修プログラムの提供)が終了した古いブラウザになり、安全ではありません。閲覧者から送られる情報を保護できるように、通信の暗号化(SSL)はもちろん、表記内容と実際の運用状況の整合性が保たれているかを継続的に確認することが重要になります。