フォックスエスタ

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの私設研究所。執筆、取材、講演依頼等はキタきつね (foxcafelate@gmail.com)まで。

クレジットカード情報漏洩事件のまとめ(2019年上半期)

カード情報漏洩事件

国内のクレジットカード情報漏洩事件(2019年1月~6月)のまとめ 

6月末時点で少なくても19件の漏洩事件が(把握している限り)発表されており、推定も交じりますがEC-CUBEを利用していたECサイトからのカード情報漏洩事件が最近は多く出てきています。(※少なくても19件中11件はEC-CUBE利用が確認/推定されました)

 

リリース日 運営事業者 サイト名 漏洩件数 期間 原因
2019年6月24日 富洋観光開発 見波亭 289件 2015年2月5日~2016年10月31日

EC-CUBE】v不明

旧サイトへの不正アクセス

(Heartbleed)
2019年6月17日 熊本ワイン株式会社 熊本ワインショッピングサイト  444件 2018年12月5日~2019年1月30日

EC-CUBE】v不明

アプリケーションの機能を悪用した不正アクセスによる決済情報入力画面の書き換え
2019年6月13日 株式会社イオン銀行
イオンクレジットサービス株式会社		  「暮らしのマネーサイト」
「イオンウォレット」		  1,917件 2019年5月28日~2019年6月3日 外部で不正に取得したと思われるID・パスワードを使った“なりすまし”による不正ログイン
2019年6月10日 株式会社ジュニアー ジュニアーオンラインショップ(旧サイト) 2,407件 2017年9月18日~2018年9月21日

EC-CUBE】v不明

システムの一部の脆弱性をついたことによるペイメントアプリケーションの改ざんが行われたため
2019年6月4日 株式会社サンポークリエイト アネモネ 2,606件 2018年9月3日~2018年12月27日

EC-CUBE】v不明

三者による不正プログラムの混入
2019年5月29日 株式会社ヤマダ電機 ヤマダウエブコム・ヤマダモール 37,832名 2019年3月18日~2019年4月26日 三者によって「ヤマダウエブコム・ヤマダモール」に不正アクセスされ、ペイメントアプリケーションの改ざんが行われたため
2019年5月28日 有限会社ジャングル 通販サイト 2,507件 2017年5月2日~2018年11月6日 顧客情報が格納されているサーバへの不正アクセス
2019年5月22日 株式会社藤い屋 藤い屋オンラインショップ 477件 2018年10月15日~2019年1月28日 EC-CUBE】v不明
システムの一部の脆弱性をついたことによる第三者不正アクセス
2019年5月15日 株式会社小田垣商店 小田垣商店オンラインショップ 2,415件 2018年4月3日~
2018年5月16 日、及び 2018年9月3日~2019年2月28 日

EC-CUBE】v不明

システムの一部の脆弱性
をついたことによる第三者不正アクセス
2019年4月23日 株式会社エーデルワイン エーデルワイン オンラインショップ 1,140件 2015年7月8日~2018年8月5日

EC-CUBE】v不明

システムの一部の脆弱性をついたことによる第三者不正アクセス
2019年4月15日 ジェイ・ワークス株式会社 ショコラ ベルアメール 1,045名 2018年8月6日~2019年1月21日

EC-CUBE】v不明

システムの一部のセキュリティの脆弱性をついたことによる外部の第三者不正アクセス
2019年4月12日 九州旅客鉄道株式会社 ななつ星 Gallery 2,816名 2013年10月5日~2019年3月11日

EC-CUBE】v不明

システムの一部の脆弱性を狙った第三者の攻撃による不正アクセス
2019年4月10日 株式会社レジナ エコレオンラインショップ 247件 2018年5月16日~2018年12月11日 攻撃者が、データベースへ不正な仕掛けをページ内に埋め込んだとみられます
2019年4月2日 株式会社サーカス 子供服サーカス/子供服ミリバール 2,200件 2018年10月1日~2019年1月18日 システムの一部の脆弱性をついたことによる第三者による不正アクセス
2019年4月1日 株式会社友利 本味主義 2,926件 2017年5月22日~2018年10月14日 システムの一部の脆弱性をついたことによる第三者による不正アクセス
2019年3月25日 クインテッセンス出版株式会社 歯学書ドットコム 5,689件 2012年11月11日~2018年12月28日 システムの一部の脆弱性をついたことによる第三者不正アクセス
2019年2月26日 株式会社ハセ・プロ オンライン通販サイト 1,311件 2018年10月1日~2019年1月24日

EC-CUBE】v不明

システムの脆弱性を突いた第三者による不正アクセスとページの改ざん
2019年2月12日 バニーファミリー横浜 バニーファミリー横浜ネットショップ 241件 2018年6月28日~2018年10月25日

EC-CUBE】v不明

システムの一部の脆弱性をついたことによる第三者不正アクセス
2019年2月1日 JR九州ドラッグイレブン株式会社 通販サイト 458件 2016年4月12日~2018年11月8日 通販サイトの内部にプログラムの改ざん

  

JR九州ドラックイレブンはサイト閉鎖に伴う影響か、第2報まで出ていたリリース記事が消えており、リリース記事へのリンクを貼ってません。

 

 

 

åéã§æ©ãç·æ§ã®ã¤ã©ã¹ãï¼ã«ã¼ãï¼

更新履歴

  • 2019年6月9日PM(予約投稿)
  • 2019年6月10日PM ジュニアーオンラインショップ(旧サイト)分を追加
  • 2019年6月18日PM EC-CUBE簡易調査結果(過去インシデント分)を追加
  • 2019年6月29日AP 見波亭(旧サイト)分を追加

読むべきインシデントレポート

ホワイトペーパー

フォックスエスタでは、ホワイトレポート的なとりまとめた情報を出せればと思っています。まず最初に取り上げたいのが、インシデントの最終報告書です。セキュリティインシデント対応を考える上で「歴史」を学ぶ事は色々な意味で役立つのではないでしょうか。(※随時、事例は追加されると思います)

 

 

九州商船:2018/1(7.4万件)

<キタきつねコメント>

報告書が2件が事件後にリリースされていましたが、残念ながらリンク切れになっています。ホームページを見ると、2019/4にホームページリニューアルが実施されており、不正アクセス発生(の可能性)リリースも出てこない事から、リニューアルを機に”削除した”のでは無いかと推測します。含蓄があるレポートだっただけに残念ではありますが、Fox on Securityで取り上げた記事を参考情報として掲載しておきます。

f:id:foxcafelate:20190601103644p:plain

参考:

 

九州商船の最終報告書が勉強になる - Fox on Security

九州商船の不正アクセス事件について調べてみた。 - Fox on Security

 

 

GMOペイメントゲートウェイ:2017/3

<キタきつねコメント>

フォレンジック調査会社の方と雑談した際に聞いたのですが、本当の報告書はこのレベルでは無いそうです。個社のシステムの機微な情報まで含むと思われるので、その部分が削除されるのは普通かと思いますが、表面的な情報だけであっても、0ディ攻撃への対策、あるいは時系列でどういった現場・トップ判断がされていったのか、インシデント対応という意味では対策案まで含めて、他社にとって参考になる情報が多いかと思います。

 

併せて、フリーのフレームワークApache Struts2)を使うリスク、あるいは日本でもまだユーザが居ますが、古いバージョンのフレームワークApache Struts1等)を使うリスクについて、このレポートを見て考え直すきっかけになるかも知れません。

※同じGMOグループのGMOペパボも漏洩事件が発生し報告も出てますが、GMO-PGの方が色々な意味で初回侵害であるので見るべきなのはGMO-PGのレポートかと思います。

 

不正アクセスによる情報流出に関する調査報告書GMOペイメントゲートウェイ社)

 

 

 

日本年金機構:2015/8(125万件)

<キタきつねコメント>

標的型攻撃の典型的なインシデントでした。地方支局の端末から攻める、今でいうサプライチェーン攻撃の様な部分も含め、そして内部は安全であると平文で個人情報が入った作業ファイルを保管している運用は、自分たちは襲われる訳がない、そんな風に過信している所を、海外を含めたハッカーは突いてくるのだという事を改めて認識できるインシデントであったと思います。侵入されないという前提ではなく、侵入されても大丈夫(被害が最小限に抑えられる)な体制を構築すべきであると感じられるレポートと言えるかと思います。

 

不正アクセスによる情報流出事案に関する調査結果報告日本年金機構

 

 

 

サウンドハウス:2008/4(12.2万件)

<キタキツネコメント>

2008年とかなり古い事件を取り上げます。カード情報漏洩事件が発生した際に、ECサイトはどんな事に巻き込まれるのか、SQLインジェクションでサイトからカード情報が漏洩した事件の生々しいカード会社らとのやり取りが、詳細な時系列で書かれています。

ECサイトが攻撃を受けた際に、世間一般にみて対策がされているのだとすれば(あるいは0ディ攻撃であれば)、ECサイトは被害者でもある訳です。カード会社が言う様にセキュリティ対策費用をかけてきた(3Dセキュアの導入等)のに・・・とやるせない部分も文章から垣間見れますが、冷静に自社の悪かった所まで含めて書かれています。

このレポートの中でも、P17~「7.サイバー社会への警告」という部分は必見だと思います。10年以上前の文章ではありますが、そこで指摘されている内容はまったく古くありません。経営者が書いた内容だからこそ、胸に響くものがあります。だからこそ経営層にはぜひ読んでほしいレポートだと思います。

 

不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ(サウンドハウス)

 

 

 

f:id:foxcafelate:20190601111227p:plain

更新履歴

  • 2019年6月1日AM(予約投稿)

フォックスエスタ(Foxestar)について

About フォックスエスタ

f:id:foxcafelate:20190526185252j:plainフォックスエス

 

フォックスエスタは、セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントであるキタきつねの活動組織(私設研究所)となります。

 

※私のプロフィールやこのサイトを立ち上げた等々の事情についてはAboutページをご覧ください。

 

フォックスエスタの由来は、「Fox」「estar」の2つの単語の掛け合わせです。

 

「Fox」(フォックス)はハンドルネームでもある『キタきつね』のきつねの英単語Foxから引用していますが、元来『Fox』という単語には狐という動物を表す名詞表現以外に、狐の特性を指す「ずる賢い」という意味でも広く使われています。

日々激しさを増すサイバーセキュリティの世界では攻撃側以上に防衛側も「ずる賢さ」が求められます。「Fox」にはそうした”強かな賢さ”を持ちたいという想いも込めています。

 

「estar」(エスタ)スペイン語で「いる、ある」といった状態動詞として使われます。Foxと合わせる事で『ずる賢くある』というセキュリティ・コンサルタントとしての在りたい姿を込めてこの単語を使いました。

 

また2つの単語には「Fox」の複数形が「Foxes」である事と「star」を被せています。

現在は1人での活動ですが、セキュリティ分野で同じ想いを持つ方と協業する事によって、FoxesのStar、つまり「ずる賢い集団」と将来なる事、そしてその集団が大きな恒星となって「輝く」事、そうした活動ができると良いなと思っています。

 

2019/5/26 キタきつね拝

 

 

 

更新履歴

  • 2019年5月26日PM

キタきつねについて

f:id:foxcafelate:20190526185252j:plainキタきつねについて

 

キタきつねは、現在、都内の某セキュリティ関係企業で正社員として働いております。

政府の『働き方の変革』を受けて2019年5月から会社から副業が認められ、このサイトを作りました。

活動時間は所属企業の”勤務時間外”となるので制約も多いのですが、共同研究、執筆、講演依頼などがありましたら内容次第で前向きに検討させて頂きます。ブログ等を読まれてご興味がありましたら、お気軽にお問合せ下さい。

問い合わせ先:キタきつね (foxcafelate@gmail.com)

 

 

■キタきつねの由来

現在常勤の企業で以前、北海道に転勤で4年居りました。この際に使っていたネット上でのハンドルネームをそのまま使っております。キタキツネではなく、微妙にカタカタ(キタ)と平仮名(きつね)を混ぜておりますが、こうしておくとネットでのID登録などでも他人と被らない事が多いので(きたきつね、キタキツネだと既に登録ユーザが居る事が多い)このハンドルネームを好んで使っております。

 

因みに、Twitter等で使っている(いた)この写真がキタキツネです。2003年6月に北海道の神威岬駐車場で撮ったものです。(以前はここに人馴れしたキタキツネの家族が出てましたが最近は出てないそうです)

f:id:foxcafelate:20190526201027j:plain  

気に入っている写真なのですが、残念ながら当時のPDAで撮影したので画素数が低いものしか残ってません(100×65 pixcel)。

 

自己紹介の写真などで今後困りそうだったので、今回のサイト構築に当たって、新しいロゴを作りました。盾に耳をくっつけたらきつねっぽく見えてきたので、このロゴを自信の、あるいはフォックスエスタのロゴとして暫く使ってみようかと思います。

f:id:foxcafelate:20190526185252j:plain

 

 

■ハンドルネームでの活動?

現在の会社には届を出しているので、実名での活動も出来なくは無いのですが、国内では素性を隠して活動しているセキュリティ関係者(リサーチャー)としては、piyokango氏他、数少ないかと思います。

諸々の立場を離れて勝手な事を自己の責任においてお伝えする事ができるかと思いますので、もし諸々のコラボレーションのお話がありましたら、匿名(ハンドルネーム)で出る場合もある、あるいは打ち合わせや会場等のオープンの場での写真撮影はお断りする場合があるという事をご承知置き頂ければと思います。

 

※現在の会社にも活動概要は相談済ですので、完全に匿名でなければいけない!という訳ではありません。

 

 

■キタきつねの得意な事

専門分野ではありますが、一般通訳もしてきましたので、多少は英語が使える方だと思いますが、冷静な英語レベルは日常会話程度だと思います。

また昔からGoogleを酷使する様なネットリサーチを業務でしてきましたので、情報収集という分野では、一般の方よりは検索技術は磨かれているのではないかと自負しております。

 

セキュリティの分野では、日本語あるいは英語ソースを元にしたOSINT(Open Source INTelligence)が得意であると言えるかと思います。その実力内容については、Fox on Securityというブログで日々発信しておりますので、そちらをご覧いただく方が分かりやすいかと思います。

 

■Fox on Securityについて

2017年11月5日から書き始めたブログとなります。本業とは関係なく個人の立場で発信しており、本日(2019/5/26)の時点で、ブログ継続日数は568日、累積アクセス数が20万件、日々のアクセス数は曜日などによって変動しますが、平日は300-500件程のアクセスがあります。

 f:id:foxcafelate:20190526210736p:plain

 

ブログ名の由来ですが、(グローバルでみた)セキュリティ業界での権威でもある、ブライアン・クレブス氏が運営するKrebs on Securityを真似してブログ名を付けました。

余談となりますが、Krebs on Securityは、私がセキュリティコンサルとして活動するきっかけともなった、全米を揺るがしたTargetの大規模情報漏洩事件をスクープしたサイトでもあります。 

 

 

更新履歴

  • 2019年5月26日PM