Security Press
- セキュリティ プレス -
2022年6月7日、東京シャツ株式会社が運営する「東京シャツ公式オーダーサイト」が第三者による不正アクセスを受け、クレジットカード情報(カード名義人名、クレジットカード番号、有効期限、セキュリティコード)2,341件が漏洩した可能性があることを公表しました。
Webサイトの過去状況を提供するサービス「インターネットアーカイブ」にて2021年10月11日の同サイトのプログラムを確認のところ、プログラムファイル内に「EC-CUBE(イーシーキューブ)」の記載が確認されました。
▼2021年10月11日時点のプログラムファイル
https://web.archive.org/web/20210117152929js_/https://order.e-shirt.jp/js/eccube.js
同システムについては、2019年5月より決済画面の改ざんによるクレジットカード情報の流出被害が複数報告されたことから、公式サイト上でセキュリティ診断の必要性が喚起されております。また同年12月には、経済産業省からも同様の注意喚起が発表されております。
▼<経済産業省>株式会社イーシーキューブが提供するサイト構築パッケージ「EC-CUBE」の脆弱性等について(注意喚起)(2019/12/20)
https://www.meti.go.jp/press/2019/12/20191220013/20191220013.html
▼<EC-CUBE公式>【重要】サイト改ざんによるクレジットカード流出被害が増加しています(2019/05/09)
https://www.ec-cube.net/news/detail.php?news_id=330
「一般財団法人 日本サイバー犯罪対策センター(JC3)」より、通販サイトの改ざんによるクレジットカード情報窃取の手口が紹介されております。
紹介されている手口では、クレジットカード情報を入力する画面が改ざんされており、入力された情報を窃取していますが、偽のエラーメッセージを表示して、再度、クレジットカード情報の入力を求めます。
その後は正規の決済手続に移行し、決済も正常に完了するため、運営側には改ざん前の通知と差異はなく、注文どおりの商品が後日に届くことから、購入者・運営者ともにクレジットカード情報が窃取されたことを把握することは困難になります。またこのような仕組みのため、カード番号だけでなく、セキュリティコードも窃取されます。
公表内容には「2019年4月2日から2022年3月8日の期間中に本件サイトにおいてクレジットカード情報を入力し決済ボタンを押されたお客様(1,114件、991名)」とあり、クレジットカード情報が盗取された可能性がある期間は、1,072日(2年11ヶ月以上)と長期間になります。
前述のとおり、EC-CUBE公式サイトにて「サイト改ざんによるクレジットカード流出被害」が公表された時期は2019年5月9日となっており、サイト開設当初より、システムの脆弱性が内在していた可能性があります。
公表内容には「クレジットカード情報等の個人情報が流出した可能性のあるお客様には、本日より、書状または電子メールにてお詫びとお知らせを個別にご連絡」とあり、2022年3月1日の漏洩懸念から78日経過しています。
また個人情報保護委員会への報告は2022年3月29日とあり、同年3月1日の漏洩懸念から22日経過しています。
2022年4月1日施行の改正個人情報保護法では不正アクセス等、故意による場合は漏洩のおそれも含めて、個人情報保護委員会への報告と本人への通知を義務付けています。また改正法では、速報を5日以内、確報を30日以内(不正アクセスの場合は60日以内)に行う必要があると定められています。
>>【改正個人情報保護法】報告・通知が義務化
【引用】一般財団法人 日本サイバー犯罪対策センター/クレジットカード情報窃取の手口に注意(2019年7月12日)
※一般財団法人 日本サイバー犯罪対策センター:サイバー攻撃の脅威情報の事例や手法を共有することで、脅威の軽減や無効化を目指す非営利団体です。
