「東京シャツ公式オーダーサイト」に不正アクセス 被害の対象期間は 1,072日間 2,341件のカード情報漏洩の可能性

2022年6月7日、東京シャツ株式会社が運営する「東京シャツ公式オーダーサイト」が第三者による不正アクセスを受け、クレジットカード情報(カード名義人名、クレジットカード番号、有効期限、セキュリティコード)2,341件が漏洩した可能性があることを公表しました。

 

稼働システム

Webサイトの過去状況を提供するサービス「インターネットアーカイブ」にて2021年10月11日の同サイトのプログラムを確認のところ、プログラムファイル内に「EC-CUBE(イーシーキューブ)」の記載が確認されました。

▼2021年10月11日時点のプログラムファイル
https://web.archive.org/web/20210117152929js_/https://order.e-shirt.jp/js/eccube.js

同システムについては、2019年5月より決済画面の改ざんによるクレジットカード情報の流出被害が複数報告されたことから、公式サイト上でセキュリティ診断の必要性が喚起されております。また同年12月には、経済産業省からも同様の注意喚起が発表されております。

▼<経済産業省>株式会社イーシーキューブが提供するサイト構築パッケージ「EC-CUBE」の脆弱性等について(注意喚起)(2019/12/20)
https://www.meti.go.jp/press/2019/12/20191220013/20191220013.html

▼<EC-CUBE公式>【重要】サイト改ざんによるクレジットカード流出被害が増加しています(2019/05/09)
https://www.ec-cube.net/news/detail.php?news_id=330

 

「EC-CUBE」の決済画面 改ざんの手口

「一般財団法人 日本サイバー犯罪対策センター(JC3)」より、通販サイトの改ざんによるクレジットカード情報窃取の手口が紹介されております。

「EC-CUBE」の決済画面 改ざんの手口の図、1枚目

「EC-CUBE」の決済画面 改ざんの手口の図、2枚目

 

紹介されている手口では、クレジットカード情報を入力する画面が改ざんされており、入力された情報を窃取していますが、偽のエラーメッセージを表示して、再度、クレジットカード情報の入力を求めます。
その後は正規の決済手続に移行し、決済も正常に完了するため、運営側には改ざん前の通知と差異はなく、注文どおりの商品が後日に届くことから、購入者・運営者ともにクレジットカード情報が窃取されたことを把握することは困難になります。またこのような仕組みのため、カード番号だけでなく、セキュリティコードも窃取されます。

 

被害の可能性がある期間は 1,072日(2年11ヶ月以上)

公表内容には「2019年4月2日から2022年3月8日の期間中に本件サイトにおいてクレジットカード情報を入力し決済ボタンを押されたお客様(1,114件、991名)」とあり、クレジットカード情報が盗取された可能性がある期間は、1,072日(2年11ヶ月以上)と長期間になります。
前述のとおり、EC-CUBE公式サイトにて「サイト改ざんによるクレジットカード流出被害」が公表された時期は2019年5月9日となっており、サイト開設当初より、システムの脆弱性が内在していた可能性があります。

 

漏洩懸念から対象顧客への通知まで78日

公表内容には「クレジットカード情報等の個人情報が流出した可能性のあるお客様には、本日より、書状または電子メールにてお詫びとお知らせを個別にご連絡」とあり、2022年3月1日の漏洩懸念から78日経過しています。
また個人情報保護委員会への報告は2022年3月29日とあり、同年3月1日の漏洩懸念から22日経過しています。
2022年4月1日施行の改正個人情報保護法では不正アクセス等、故意による場合は漏洩のおそれも含めて、個人情報保護委員会への報告と本人への通知を義務付けています。また改正法では、速報を5日以内、確報を30日以内(不正アクセスの場合は60日以内)に行う必要があると定められています。
>>【改正個人情報保護法】報告・通知が義務化

 

【引用】一般財団法人 日本サイバー犯罪対策センター/クレジットカード情報窃取の手口に注意(2019年7月12日)
※一般財団法人 日本サイバー犯罪対策センター:サイバー攻撃の脅威情報の事例や手法を共有することで、脅威の軽減や無効化を目指す非営利団体です。

情報流出
クレジットカード情報 2,341件が漏洩の可能性
要因
脆弱性を狙った不正アクセスによるプログラム改ざん

被害企業概要

本社所在地
東京都台東区駒形1丁目3番16号 駒形プラザビル 7F
資本金
7,500万円
事業内容
紳士・婦人用品の製造及び販売
店舗数
国内店舗:163店舗(直営実店舗 153店舗 FC実店舗 1店舗 EC 9店舗 / 2020年12月末現在)
従業員数
763名(パート・アルバイト含む)2020年12月末現在

実施しておきたい対策

脆弱性の事前診断
脆弱性を速やかに把握できるよう、定期的な脆弱性診断の実施、診断ツールの導入
被害事例では、システムの脆弱性が狙われ、ペイメントアプリケーションの改ざんがあったことを把握しています。「ペイメントアプリケーションの改ざん被害」はEC-CUBEが導入された通販サイトにおいて複数確認されていたことから、他の被害サイトと同種の脆弱性が存在していたと思われます。定期的な脆弱性診断の実施により、未然に脆弱性を把握し、速やかに補修することで不正アクセスを抑制し、ファイルの改ざんを防ぐことが可能になります。
不正アクセス抑止機能(WAF)の導入
既知の攻撃による不正アクセスからWebサイトを保護する仕組みの導入
発見・公表から間もない脆弱性は補修作業が間に合わないケースも考えられます。不正アクセス抑止機能の導入により、脆弱性の補修が反映されていなくとも、攻撃を抑制できる可能性があります。
改ざん検知システムの導入
Webサイトの改ざんを速やかに把握し、被害を最小限に留める仕組みの導入
不正アクセスによりファイルが改ざんされた場合、改ざん検知システムの導入により速やかに検知することが可能です。改ざん検知システムには、検知のみを行うものの他、検知したファイルを過去に取得した安全なファイルに置き換え、自動で修復するシステムがあります。
通販サイトでの被害事例の多くは、決済代行会社からの連絡により漏洩懸念を確認していますが、改ざん検知システムの導入により、漏洩の懸念をより早い段階で検知することが可能になります。
また被害事例の対象期間は、2019年4月2日~2022年3月8日(1,072日間、2年11ヶ月以上)と極めて長期に渡っており、Webサイト開設のプレスリリースが発表された2019年5月7日時点において、既に不正アクセスによる改ざんの被害を受けていた可能性があります。改ざん検知システムが早期に導入されていれば、より早い段階で調査を開始、対象期間と被害件数を抑えることができた可能性があります。
保有する情報の内容・数量の定期的な確認
Webサイト内に格納されている情報を定期的に整理する運用ルールの策定と実施
不正アクセス等により、万一、流出事故が発生した場合に備え、被害を受ける方が1人でも少なくなるよう、Webサイトに格納する情報は必要最低限とする運用方針です。個人情報は可能な限り、インターネットが接続されていないオフライン環境へ移し、サーバー上には必要最低限の件数としておくことで、事故の際の被害範囲を最小限に抑えることができます。
※なお、個人情報保護法(第19条)では、個人データを利用する必要がなくなった際には、当該個人データを遅滞なく消去する努力義務が定められています。
個人情報保護法<第19条>データ内容の正確性の確保等
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
引用:e-Gov法令検索

Case Study
その他のサイバー攻撃 被害事例