フォックスエスタ

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの私設研究所。執筆、取材、講演依頼等はキタきつね (foxcafelate@gmail.com)まで。

クレジットカード情報漏洩事件のまとめ(2020年上半期)

国内のクレジットカード情報漏洩事件(2020年1月~6月)のまとめ  ※随時更新予定

7月1日時点で少なくても16件の漏洩事件が(把握している限り)発表されています。

※少なくても16件中13件はEC-CUBE利用が確認/推定されています(約81%)

※累計カード情報漏えい件数は11,295件 

※平均侵害日数は131日 ※侵入検知から事件発表までの平均日数は220日

続きを読む

ブロードリンク社の指名停止処分を調べてみた

昨年12月の衝撃的な内部犯行事件の発表から2か月近く経過し、そろそろ忘れ去られた事件となりつつありますが、行政組織からの指名停止処分が断片的に報じられていたので、少し調べてみました。

 

キタきつねの所感

ざっと調べた所、13の行政組織がブロードリンク社を指名停止処分をしています。一番長いのが防衛相の9か月、その他の組織は1~3か月の処分となっています。

13組織が処分と言うのは、(予防的措置の群馬県を除き)ブロードリンク社を「多用」していた行政組織が結構あった事を示唆しています。最悪なシナリオでは、処分されたはずのHD/SSD爆弾が時間が経ってから”爆発”(自治体が漏えい情報を発表する)するかも知れません。

今後の行政機関を含めての、媒体消去(廃棄)業務外注については、(入札)要件に「セキュリティ」面での追加要件が明示される様になるかと思いますが、神奈川県の作業で問題となった様に、「証拠書類」を適切な日数で提出させる事、というのも重要な要素になりそうです。

 

とは言え神奈川県の改善案はヤリスギだと思いますが・・・ 

神奈川県は羹に懲りて膾を吹いた - Fox on Security

 

No 組織 処分内容
1

防衛省    

         

㈱ブロードリンクに対する指名停止措置について

指名停止措置9か月(2019年12月9日~2020年9月8日)

2

国土交通省

 

株式会社ブロードリンクに対する指名停止措置について

指名停止措置2か月(2020年1月31日~)

 

※なお、国土交通省においては、平成27年度以降、パソコンのデータ消去等に関する同社との直接契約が計4件・約2千万円あるが、情報流出は確認されていない。

3

神奈川県

 

(情報システム課からのお知らせ)リース契約満了により返却したハードディスクの盗難について

指名停止措置3か月(2019年12月10日~)

4

吹田市

 

指名停止措置事業者一覧(令和2年1月10日現在)

指名停止期間2か月(2019年12月28日~2020年2月27日)

5

神戸市

 

指名停止措置状況

指名停止措置2か月(2019年12月7日~2020年2月6日)

広島市

 

広島市競争入札参加資格者指名停止措置要綱第13条に基づく指名停止措置の公表について

指名停止措置1か月(2020年1月17日~2020年2月16日)

7

群馬県

 

指名停止業者一覧

指名停止1か月(2020年1月15日~2020年2月14日)

 

第23回定例記者会見要旨(1月15日)

県の調査ではブロードリンク社と直接契約は無いが孫請け、下請けに入る可能性を考えての処分

山形県

 

物品・業務委託等業者に対する指名停止措置について指名停止業者一覧

指名停止3か月(2019年12月27日~2020年3月26日)

岡山市

 

指名停止一覧

指名停止3か月(2019年12月17日~2020年3月16日)

10

愛知県

 

令和元年度指名停止の運用状況一覧表指名停止一覧

指名停止1か月(2020年1月29日~2020年2月28日)

11

千葉市

 

指名停止措置一覧表(平成31年度)

指名停止1か月(2019年12月13日~2020年1月12日)

12

枚方市

指名停止中 業者一覧

指名停止3か月(2019年12月27日~2020年3月26日)

13

江東区

指名停止中の業者(令和2年1月30日現在)

指名停止1か月(2020年1月30日~2020年2月29日)

14

藤枝市

藤枝市物品購入等の契約に係る入札参加停止等措置状況

入札参加停止2か月(2020年1月10日~2020年3月9日)

15

泉南市

指名停止等措置業者一覧

指名停止3か月(2020年1月10日~2020年4月9日)

 

 

参考:

foxestar.hatenablog.com

 

 

本日もご来訪ありがとうございました。

Thank you for your visit.

 

 非常停止ボタンのイラスト(ホーム)

 

 

更新履歴

  • 2020年2月2日 AM(予約投稿)

電力・ガス会社への不正アクセス事件まとめ

国内の電力・ガス会社への不正アクセス事件のまとめ  ※随時更新予定

電力・ガス会社の顧客向けサイトは不正ポイント交換(個人情報)を狙ったと思われるパスワードリスト型攻撃が事件リリースとして出てくる事があります。当記事では、各社のリリースベース(日付URLより各社リリースに飛べます)で、被害状況をまとめました。

 

※2016年以降、9件の事件リリースを確認してますが、内8件が(他社から入手した情報を元にした)パスワードリスト攻撃と発表されています。

リリース日 対象組織 攻撃期間 被害件数 備考
2020年1月10日 東北電力
「よりそうeねっと」
2019年12月1日~12月27日 105件 三者が他社のサービス等から入手したと思われるログインID・パスワードを用いた大量アクセスにより、アプリから不正なログインが行われ、内44名(14.1万P)が不正に電子マネー・共通ポイントに交換された。
2019年10月30日 中部電力
カテエネ」
2019年10月17日~10月28日 87件 パスワードリスト攻撃と推定される第三者からの不正ログイン試行により、87件の不正アクセスを受け、内60件で不正なポイント交換申請や契約プラン変更申請が行われた。カテエネポイントの不正利用被害はない。
2019年7月12日 中部電力
カテエネ」
2019年7月10日~7月11日 234件 パスワードリスト攻撃と推定される第三者からの不正ログイン試行により、個人情報が不正に閲覧された可能性がある。カテエネポイントの不正利用被害はない。
2018年8月24日 四国電力
「よんでんコンシェルジュ
2018年8月22日~8月23日 149件 パスワードリスト攻撃と推定される第三者からの不正アクセス(※登録者数を超える=22万件以上と推定される)を受け、149人が合計12.7万ポイントを不正交換された。
2017年10月13日 東邦ガス
「Club TOHOGAS」
2017年10月12日 103件 1.5万件を超えるふせいアクセスを受け、103件で顧客情報が不正に閲覧された可能性。
2017年9月22日 東京ガス
「myTOKYOGAS」
2017年9月11日~9月20日 106件 パスワードリスト攻撃と推定される第三者からの不正アクセスを受け、106件で顧客情報が不正閲覧され、内24件では合計3.8万円相当のポイントが不正交換された。
2017年9月1日 東京ガス
「myTOKYOGAS」
2017年8月30日~8月31日 17件 10万件を超える不正アクセスを受け、17件で顧客情報が不正に閲覧された可能性。
2017年3月15日 沖縄電力 2017年3月13日 6478件 停電情報公開サービスがApache Struts2脆弱性を突かれ、メールアドレス、ニックネーム等、お客様情報6478件が漏えいした。
2016年11月16日 東北電力
「よりそうeねっと」
2016年11月10日~11月15日 540件 複数の特定のIPアドレスから大量の不正アクセスが試みられ、1416名が不正アクセスに成功、540名が不正にポイント交換された。何者かが当社以外から入手したログインIDやパスワードを用いて、不正なアクセスを試みたものと判断される。

 

 ブラックリストのイラスト

更新履歴

  • 2020年1月11日PM(予約投稿) ※随時更新

クレジットカード情報漏洩事件のまとめ(2019年下半期)

国内のクレジットカード情報漏洩事件(2019年7月~12月)のまとめ  ※随時更新予定

 

12月21日時点で少なくても34件の漏洩事件が(把握している限り)発表されています。※少なくても34件中30件はEC-CUBE利用が確認/推定されました

※ECオーダー.comの利用ECサイト(影響ユーザ)は一定数あった様ですが、影響サイトの公表がされてないので1件としてカウントしています

※JIMOSは元々3サイトリスト掲載してましたが本発表が1リリースでしたので4サイト分を1件としてカウントしてます

 

リリース日 運営事業者 サイト名 漏洩件数 期間 原因

2019年12月19日

FOX記事(34)

FULLSPEC FULLSPEC. WEB SITE 62件

2018年9月7日~2019年1月30日

EC-CUBE】v不明 #30

システムの一部の脆弱性をついたことにより、ペイメントアプリケーションの改ざんが行われ、第三者不正アクセスが発生

2019年12月11日

FOX記事(33)

株式会社プレジィール グラマシーニューヨークオンラインショップ 3,312件

2018年10月31日~2019年6月14日

EC-CUBE】v不明 #29

システムの一部の脆弱性をついたことによる第三者不正アクセス

2019年12月5日 

FOX記事(32)

象印マホービン株式会社 象印でショッピング 734件

2019年12月4日

三者による不正アクセス、およびフィッシングによるカード情報窃取

2019年12月3日

FOX記事(31)

株式会社モーターマガジン社 モーターマガジン社コーポレートサイト 211件

2018年8月21日~2019年6月27日

EC-CUBE】v不明 #28

システムの一部脆弱性を突いたことによる第三者不正アクセス

2019年11月21日

FOX記事(30)

株式会社 英宝 Cardshop Serra 4,982件

2017年9月17日~2018年11月8日

EC-CUBE】v不明 #27

システムの一部脆弱性を突いたことによる第三者不正アクセス

2019年11月21日

FOX記事(29)

有限会社キャプテントム キャプテントム 83

2019年1月8日~2019年5月9日

EC-CUBE】v2.13 #26

システムの一部脆弱性を突いたことによる第三者不正アクセス

2019年11月14日

FOX記事(28)

株式会社 イオンスポーツ ゼロフィット公式オンラインショップ 983

2015年1月1日~2018年7月24日

EC-CUBE】v不明 #25

システムの⼀部の脆弱性をついたことによる第三者不正アクセス

2019年11月11日

FOX記事(27)

株式会社 コムス 5pb. Records div2 official shop 147件

2019年4月10日〜2019年4月24日

EC-CUBE】v不明 #24

システムの⼀部の脆弱性をついたことによる第三者不正アクセス

2019年11月6日

FOX記事(26)

株式会社イザナギ AKIBA-HOBBY 220件

2018年9月28日~2019年3月20日

EC-CUBE】v2.13 #23

外部からのWebアプリケーションの脆弱性を利用した攻撃

2019年11月5日

FOX記事(25)

モダンデコ株式会社

Armonia本店

649件

2018年8月20日~2019年4月26日

EC-CUBE】v不明 #22

システムの一部脆弱性を突いた第三者不正アクセス

2019年10月24日

FOX記事(24)

株式会社 直久

ネットショップ

133件

2017年4月27日~2018年3月28日

全研本社株式会社提供のアプリケーションサービス「Allin1 Office」が運用するサーバーの脆弱性を利用した外部からの攻撃

2019年10月24日

FOX記事(23)

株式会社スタジオライン

MODERN BEAUTY TOKYO

16,109件

2016年11月15日から2018年11月7日

EC-CUBE】v不明 #21

外部からのWebアプリケーションへの不正侵入

2019年10月15日

Fox記事(22)

株式会社JIMOS

マキアレイベル、Coyori、代謝生活CLUB、酒蔵.com

107,661件

2014年1月1日~2019年7月26日

2014年1月1日~2016年3月30日

EC-CUBE】v2.13と推測される #20

ECサイト(マキアレイベル・Coyori・代謝生活CLUB・酒蔵.com)の一部の脆弱性をついたことによる第三者からの不正アクセス

2019年10月9日

FOX記事(21)

ホビボックス株式会社

ECオーダー.com

7,467件

2019年1月19日~2019年6月26日

不正アクセスによりアプリケーションファイルを改ざんされた為

2019年10月8日

FOX記事(20)

株式会社京都一の傳

京都一の傳 お取り寄せページ

18,855件 

2018年8月18日~2019年5月17日

EC-CUBE】v2.13と推測される #19

システムの一部脆弱性を突いた第三者不正アクセス

2019年9月19日

FOX記事(19)

株式会社ハリス オリフリ

未公表

未公表(事件検知は2019年9月7日19時)

EC-CUBE】v不明 #18

フィッシング詐欺のページへ誘導するクラッキング(悪意あるハッキング)行為

2019年9月19日

FOX記事(18)

有限会社フィセル 10mois WEBSHOP

11,913件

 

30件

 

2018年8月7日~2019年3月27日

 

2019年5月14日~2019年5月20日

 

 

EC-CUBE】v不明 #17

外部からの不正アクセス

 

2019年9月17日

Fox記事(17)

株式会社みらいと 掃除用品オンラインショップ 34件 2019年5月7日~2019年5月15日

EC-CUBE】v不明 #16

システムの一部の脆弱性を突いたことによる第三者不正アクセス

 

2019年9月17日

FOX記事(16)

株式会社ハーバルインデックス Naturas Psychos Product 203件 2018年12月11日~2019年1月26日

EC-CUBE】v不明 #15

システムの脆弱性をついた第三者不正アクセスによる弊社サイトの改ざん

 

2019年9月17日

FOX記事(15)

公益財団法人 日本関税協会 JTAS Store 228件 2018年12月21日~2019年5月24日

EC-CUBE】v2.13 #14

システムの一部の脆弱性をついたことによる第三者不正アクセス

 

2019年9月12日 

FOX記事(14)

株式会社 宮本製作所 マグちゃんオンラインショップ 2,905件 2018年09月27日~2019年03月08日

EC-CUBE】v2.13 #13

システムの一部の脆弱性をついたことによる第三者不正アクセス

 

2019年9月9日

FOX記事(13)

株式会社ビバリー ビバリーホームページ 8件 2019年5月8日~2019年5月15日

EC-CUBE】v不明 #12

システムの一部脆弱性を突いた、第三者による不正アクセス

 

2019年9月9日

FOX記事(12)

激ロックエンタテインメント株式会社 GEKIROCK CLOTHING 1,269件 2019年8月23日11:55~9月3日10:47

EC-CUBE】v不明 #11

本サービスの一部が改ざんされ、お客様が不正ページに誘導され、不正ページ上にてお客様自身にクレジットカード情報を入力させる手口

 

2019年9月6日

FOX記事(11)

株式会社 諏訪田製作所 SUWADA オンラインショップ 449件 2018年12月21日~2019年4月15日

EC-CUBE】v2.13(推定) #10

三者による不正なアクセス

 

2019年8月22日

FOX記事(10)

株式会社小嶋屋総本店 小嶋屋総本店ショッピングサイト 8,109件 2015年12月9日~2019年4月15日

EC-CUBE】v不明 #09

外部からのWebアプリケーションの脆弱性を利用した攻撃

 

2019年8月20日

FOX記事(09)

HARIO株式会社 HARIOネットショップ

2,577件

2018年11月23日~2019年5月8日

EC-CUBE】v2.13 #08

三者不正アクセス

 

2019年8月5日

FOX記事(08)

株式会社ドリーム プロイデア直営ショップ

291件

2018年9月25日~2019年4月26 日

EC-CUBE】v不明 #07

ショッピングカートシステムの脆弱性を利用した攻撃

 

2019年8月5日

FOX記事(07)

株式会社おもちゃ箱 omochabakoWEBSTORE 40,233件 2016年2月3日~2019年3月11日

EC-CUBE】v不明 #06

Webアプリケーションの脆弱性を利用したクレジット決済アプリケーションの改ざん

 

2019年7月29日

FOX記事(06)

リカー・イノベーション株式会社

KURAND CLUB 23件 2019年3月11日~2019年3月14日

EC-CUBE】v不明 #05

システムの一部の脆弱性を突いた第三者不正アクセス

※8/30サイトリニューアルで事故リリースが削除されている

2019年7月23日

FOX記事(05)

株式会社金剛堂

金剛堂オンラインストア 30,830件 2014年12月31日~2019年2月21日

EC-CUBE】v不明 #04

システムの一部脆弱性を狙った不正な改ざん(※フォームジャッキング)

※フォームジャッキング…決済画面に悪意のある仕組みを埋め込み、カード情報を盗む手口のこと

2019年7月22日

FOX記事(04)

株式会社叶匠寿庵

叶匠寿庵オンラインショップ 1,767件 2018年9月17日~2019年3月13日

EC-CUBE】v不明 #03

システムの一部の脆弱性をついたことによる第三者不正アクセス

2019年7月3日

FOX記事(03)

株式会社DigiBook みんなのデジブック広場 15,370件 2009年3月1日~2019年2月20日

システムの一部の脆弱性をついたことによる第三者不正アクセス

2019年7月3日

FOX記事(02)

石井スポーツ Ski&Winter Sports Online Shop 650件 2018年9月10日~2019年3月20日

EC-CUBE】v不明 #02

システムの一部の脆弱性をついたことによる第三者不正アクセスがあり、ペイメントアプリケーションの改ざんが行われたため

2019年7月2日 

FOX記事(01)

株式会社零カスタム ZERO CUSTOM 273件 2018年8月30日~2019年1月31日

EC-CUBE】v2.13 #01

システムの一部の脆弱性をつき、プログラムの改ざんが行われたため

 

 

 

f:id:foxcafelate:20190630173144p:plain

更新履歴

  • 2019年7月1日AM(予約投稿) ※随時更新

ブロードリンク社からの情報漏えい事件を調べてみた

今年も色々な事件がありましたが、この事件は記憶に残る事件となりそうです。

 

ブロードリンク社の記者会見を見ましたが、影響範囲特定が非常に難しいのではないかと思います。既に多くの媒体は転売されており、回収不能ではないかと思います。ブロードリンク社はフリーダイヤルを設置して、落札者に自主返納をお願いしている様ですが、ヤフオクID(現在は停止中)を開示せず、更に言えば既に利用しているとすると、その代替も考えないといけませんので、「ほとんど回収できずに終わる」可能性の方が高い気がします。

 

一方で、転売された記憶領域を持つ媒体については、、、少し発表された数字がおかしい気がしています(調査中ですが)。記者会見だと、記憶領域を持つ情報機器は3904台と発表されています。

photo

ItMedia記事より画像引用

 

(12/19)ヤフオクの落札調査が終わりました。

結論から言えば、「記憶領域のある商品」については、ブロードリンク社の発表は正確では無いと思います。手集計をしているので多少ミスがあるかも知れませんが、ヤフオクの落札履歴を調べた結果では、

 

 ・ヤフオク落札件数:7558件(公式発表:7844件 ※差分はメルカリ等だと思います)

 ・内 記憶領域のある商品:4018個 (公式発表:3904個)

 

となりました。高橋容疑者のヤフオク出品は複数商品をまとめて出しているケースがあり、ブロードリンク社はカウントミスしている可能性を感じます

 

まとめて出品される記憶媒体は2パターンあります。

 

今回の漏えい事件が発見されたきっかけになったのが、ハードディスクのまとめ売りのパターンです。

f:id:foxcafelate:20191219204335p:plain

 

もう1つが、microSDのまとめ売りです。そんなに高値で売れる商品ではないので、あるいは送付が面倒になったからか、1枚だけでなく、5枚、10枚のまとめ売りをしていたケースが多数ありました。

f:id:foxcafelate:20191219204857p:plain

 

落札データを調べてみると、高橋容疑者は2007年からヤフオク利用をしてますが、月に数件~10件程度しかありません。つまりこの当時は普通にヤフオクを利用しているだけだったかと思います。

ブロードリンク社への入社は2016年2月の様ですが、(データ上は)2016年4月から急に落札件数が増えていおり、この辺りから不正持ち出しが始まったと考えられます。

 

とは言え、2016年の段階ではSSDもハードディスクも落札データに出てきませんUSBメモリMicroSDといった記録用メモリ(媒体)も出されていますが、iPhoneACアダプタとイヤホンが圧倒的に多いです。

ブロードリンク社の記者会見では、こうした小物についても不正持ち出しされた事が否定されてませんでしたので、廃棄処分対象であったこうした小物(※大処分品の個数管理されてなかったと思います)から、高橋容疑者は不正持ち出しをやり始めたと考えられます。

f:id:foxcafelate:20191219205945p:plain

f:id:foxcafelate:20191219205812p:plain

 

 

落札データにSSDが登場するのは、2017年4月からです。勝手な推測になりますが、4月は多くの会社で人事異動の時期でもありますので、高橋容疑者はこの辺りで、担当内容が代わった(例えば備品処分担当からPC分解担当へ)のかも知れません。

 f:id:foxcafelate:20191219210711p:plain

 

しかし2017年の落札データには「ハードディスク」は1件も出てきません

f:id:foxcafelate:20191219211158p:plain

SSDだけです。高橋容疑者は、この間にもケーブルやイヤホン等を毎月出品していますので、ハードディスクに比べてコンパクトで不正に持ち出ししやすいSSDに絞って持ち出していた・・とも考えられますが、ハードディスクが保管されている「カゴ」に携わる作業を担当してなかったのかなと想像します。

 

2018年になると、今回の個人情報漏えい事件で問題となっている「ハードディスク」の落札(出品)は突然4月から始まります。ここも時期的にぴったりなので、人事異動説・・・結構当たっているかも知れません。

 

f:id:foxcafelate:20191219212113p:plain

 

年ベースで落札データを見ると、高橋容疑者がどんどん大胆に機器を不正持ち出ししている事がわかります。これだけの機器を簡単に持ち出せてしまうブロードリンク社、高橋容疑者が第一義的に悪い事ではありますが、会社としての責任は免れないものと思います。

f:id:foxcafelate:20191219212647p:plain

 

今回、ヤフオク落札サーチサイトを使って、(手計算ですが)調べた範疇では、4000台を超える媒体(PCやスマホタブレット含む)が不正に持ち出された可能性が高い様です。ハードディスクやSSDNTFSフォーマットしかされてない状態で出品されていた様ですので、既にハードディスクやSSDを利用している落札者の媒体の中に、秘匿データがまだ眠っている可能性は否定できないかと思います。

一方で、ブロードリンク社が全ての媒体を特定して回収するのも困難だと思います。記者会見ではブロードリンク社が1件1件オークションデータの写真にあるシリアルチェックを行って、対象データの絞り込みを行う・・としてましたが、全ての検証は無理なのではないでしょうか?

 

ヤフオク自体の落札履歴は120日しか残りません。そこから先は、私が調べた様なオークション落札を調べるサイトで調査する事になるかと思いますが、すべての画像データが残っている訳ではありません。ついでに言えば、microSDSDHCカードUSBメモリ等に至っては、出品画像にシリアル番号が出でませんので、ブロードリンク社による追跡調査(マッチング)は、かなり難しいかと思います。

 

f:id:foxcafelate:20191219203029p:plain

f:id:foxcafelate:20191219203112p:plain

f:id:foxcafelate:20191219203142p:plain

f:id:foxcafelate:20191219203208p:plain

 

 

余談です。稼いだのは1000万円と報じられていますが・・・高橋容疑者の供述に間違いがある気がします。

www.fnn.jp

 

2019年(1月~12月)のヤフオク当該IDの落札合計額も調査しましたのですが、、

f:id:foxcafelate:20191216120337p:plain

今年だけで落札累計が1100万円超えています

 

因みに、2018年(1月~12月)は、600万円くらい。

f:id:foxcafelate:20191216120443p:plain

 

2017年(1月~12月)は200万円ちょっと

f:id:foxcafelate:20191216120542p:plain

 

 2016年(2月~12月)は120万円弱でした。

f:id:foxcafelate:20191216120646p:plain

 

高橋容疑者がブロードリンク社に入社(2016年2月)してから逮捕される(2019年12月)までのフオクの落札総額は、およそ2000万円となります。この中には一部、プライベートの出品もありそうでしたが、充電器やイヤフォン、カメラ等もどうやらブロードリンク社が供給元であった様ですので、2000万円、手数料や送料等々諸々引いたとしても、、1500万以上は稼いでいたと推定されます。

 

 

 

壊れたハードディスクのイラスト

 

 

更新履歴

  • 2019年12月16日AM (随時更新予定)

ディノス・セシールへの不正アクセス事件をまとめてみた

セシールオンラインショップ」への”なりすまし”不正アクセス事件のまとめ  

※随時更新予定

 

◆キタきつねの所感

セシールオンラインショップ」はパスワードリスト攻撃を受けている事を定期的に発表しています。しかし、その内容を細かく見ると、不正ログイン試行に対する検知が圧倒的に早く、一部被害は出ているものの、その被害内容は(他のインシデントと比較すると)軽微であると言えます。

つまりセシールオンラインショップ」は国内最高レベルの不正ログイン対策をしていると言っても過言では無いと思います。

 

当然の事ながら、攻撃(ハッカー)側も「セシールオンラインショップ」の防御が優れている事を認識していると思われます。それでも定期的にリスト攻撃を受けている事を鑑みると、攻撃(ハッカー)側は、「セシールオンラインショップ」を攻撃ツール、あるいは攻撃手法のベンチマークテストに使っている事が推測されます。

 

ディノス・セシール」は、他ECサイト事業者、あるいは会員サイト運営事業者にとって非常にありがたい事に、事件を受けてのリリース内容に情報掲載が多く、どこぞやのカード情報漏洩事件でよく見かける「システムの脆弱性をついた第三者不正アクセス」といった内容ではなく、攻撃IP国であったり、リスト攻撃の内容であったりが比較的公開されています。

攻撃(ハッカー)側が攻撃ベンチマークとして「セシールオンラインショップ」を使っている場合、近い将来あるいは現在進行形で、日本のECサイトが同様な攻撃を受ける可能性が高い事を示唆しています。そこで、改めて、ディノス・セシールへの不正アクセス事件をリリースベースでまとめてみました。

 

以下は、キタきつねとしての、簡易分析コメント(11/23時点)となります。

 ・土日に攻撃されたケースが7件(47%)

 ・以前は中国IPからの攻撃が多かったが、最近は国内IPからの攻撃が増えている

 ・「セシールオンラインショップ」は事件リリースを 平均3.8日で出している

   ※不明文、ディノス分を除く

 ・「ディノスオンラインショップ」は攻撃をほとんど受けていない 2件(13%)

 ・事件リリース数(年2-5件)から、防ぎ切った(被害が出なかった)攻撃は更に多いと推測される

 

 

2019年10月23日時点で少なくても15件の事件リリースが出ている事を確認しています。

No リリース日 サイト名 不正アクセス発生日 曜日 時刻 攻撃IP 試行回数 被害件数 被害内容
15 2019年11月21日 セシールオンラインショップ 11月19日 (火) 不明 国内IPアドレス 16回 1件

顧客番号、氏名、生年月日、性別、保有ポイント、会員ランク、自宅住所、メールマガジン登録状況などが閲覧された可能性

14 2019年10月23日 セシールオンラインショップ 10月18日 (金) 不明 国内IPアドレス 30回 1件

氏名や生年月日、性別、パソコンと携帯のメールアドレス、保有ポイントなどが閲覧された可能性

※公式ページが発表資料のリンクミスとなっている為、Security Next記事より情報引用

14 2019年9月25日 セシールオンラインショップ 9月22日 (日) 不明 国内IPアドレス 17回 1件 1 名分のお客様情報(顧客番号、氏名、生年月日、性別、保有ポイ ント、会員ランク、登録クレジットカード名、カード番号下4桁、カード有効期限)が第三者に閲覧され た可能性があり、さらに登録クレジット情報が削除された
13 2019年7月31日 セシールオンラインショップ 7月28日 (日) 不明(2回発生) 国内IPアドレス 22回 1件 1 名分のお客様情報(お客様情報(お客様番号、氏名、生年月日、 性別、保有ポイント、会員ランク、メールアドレス、確認メール送付先、確認メール受信設定、特典案内 メール受信設定)が、第三者に閲覧された可能性がある
12 2019年3月28日 セシールオンラインショップ 3月17日 (日) 不明 同一 IP アドレス(中国 及び国内) 2929回 6件 6 名分のお客様情報(氏名、会員ランク、保有ポイント数)が、第三 者に閲覧された可能性がある
11 2019年2月6日 セシールオンラインショップ 1月30日 (水) 不明 同一IP アドレス(国内)  18回 1件 1 名分のお客様情報(氏名、会員ランク、保有ポイント数、お客様 番号、性別、生年月日、メールアドレス、確認メール受信設定、特典案内メール受信設定)が、第三者に 閲覧された可能性がある
10 2018年6月6日 セシールオンラインショップ 6月2日 (土) 10:19~22 中国国内の201 個の IP アドレス  1938回 490件

490 名のお客様情報が第三者に閲覧された可能性があり、また、不正アクセス全件である 1,938 件の メールアドレスが、「セシール」にご登録中のお客様ID と一致することが判明

※新規顧客登録申請機能を悪用したリストの「スクリーニング」攻撃と推定される

9 2018年2月26日 セシールオンラインショップ 2月22日 (木) 不明 同一 IP アドレス (アメリカ) 14 回 2 件 お客様情報(氏名、所有ポイント数)2 名 分が第三者に閲覧された可能性がある
8 2017年12月7日 ディノスオンラインショップ 11月5日 (土) 不明 特定IP(11/3-4は同一セッション) 計3回 計2件 「電話番号」「FAX 番号」「住所」が改ざんされ、お客様のものではないクレジットカードにより 商品の不正注文が試みられたが、属性不一致によりキャンセル処理済み
7 11月4日 (日) 「電話番号」「携帯番号」「住所」が改ざんされ、「勤務先情報」を閲覧された可能性
6 2017年9月25日 セシールオンラインショップ 9月22日 (金) 14:13~42
16:54~17;09
同一の IP アドレス(日本国内) 30回 6件 お客様情報 6 名分が第三者に閲覧された可能性と、2 名分のお客様情報改ざん(第三者のクレジットカード 情報を登録・削除、セシールポイント 1600 ポイントをディノス e クーポン 1,600 円分に交換)
5 不明 セシールオンラインショップ 9月14日 (金) 不明 同一のIP アドレス(中国) 12回 1件 お客様情報1名分(氏名・所有ポイント数)が第三者に閲覧された可能性
4 2017年8月23日 セシールオンラインショップ 8月22日 (火) 2:21~31 同一のIP アドレス(日本国内) 11回 1件 お客様情報 計1名分(氏名・所有ポイント数)が 第三者に閲覧された可能性
3 2017年7月31日 セシールオンラインショップ 7月31日 (月) 15:01~02 同一のIP アドレス(日本国内) 11回 1件 お客様情報 1名分が第三者に閲覧された可能性
2 2016年9月5日 セシールオンラインショップ 9月3日 (土) 13:45~52 、同一のIP アドレス(中国) 30回 7件 5名分のお客様情報が第三者に閲覧された可能性
1 2016年9月5日 セシールオンラインショップ 8月31日 (水) 22:36~50 同一のIP アドレス(日本国内) 50回 8件 8名分のお客様情報が第三者に閲覧された可能性

※キタきつね調べ。(※データ引用される場合は「キタきつね調べ」を明記ください)

※2016年以前も事件リリースが出ていた可能性がありますが、簡易調査では見つけられませんでした。

 

 

f:id:foxcafelate:20190928101134p:plain

更新履歴

  • 2019年9月28日AM(予約投稿) ※随時更新

 

現在メンテナンス中のECサイトについて(カード情報漏洩の可能性有)

国内のECサイトで現時点で期間が明示されず「クレジットカード決済を停止」「システムメンテナンス」「ECサイト閉鎖」中であるサイト情報を簡単にまとめます。(随時更新予定)

※10/12時点で15サイト(内EC-CUBE系6サイト)を掲載しています。

※ECオーダーは影響ユーザ(ソフトウェア会社)が不明な為、1サイトとしてカウントしてます。

※WHGホテルズ(ワシントンホテルホテルグレイスリー等)と、ルートインホテルズについては利用ユーザも多いと思いますので、カード情報が漏洩していたと公式発表された場合は、影響を受けるユーザが多いかも知れません。

サイト名 運営事業者 カード決済停止日 備考

TMスポーツ 

株式会社テイエムスポーツ

不明 

 

EC-CUBE

※現在、クレジットカード決済でのお支払いは休止させて頂いております。

ECオーダー

※カード情報漏洩を発表10/9

ホビボックス

6月下旬

 【ECオーダー】

※まどそふと、エウクレイア、オーガストアリスソフトLump of sugar、Skyfish等の18禁系ソフト会社

当オンラインショップでは、只今サイトのシステム障害に伴う復旧及びセキュリティ強化作業を同時に実施させて頂いております。皆様には、ご迷惑をおかけし大変申し訳ございません。

現在、障害の原因調査ならびに復旧を専門のシステム保守管理会社と行っております。
弊社では、お客様の安全を第一に考え、原因追求調査だけではなく、より高度なセキュリティ強化も施しているところでございます。再開は、8月中旬頃を予定致しております。

 

エイブルマート本店

エイブルマート株式会社

不明

EC-CUBE

さて、2013年のオープン以来ご愛顧いただきました当社本店サイトは
諸般の事情により誠に勝手ながら、2019年6月30日をもって閉店とさせていただきました。

長年ご利用いただいておりました会員の皆様には、大変ご不便ご迷惑をおかけいたしまして誠に申し訳ございません。

※会員の方へは5月31日にメールをお送りしております。

ぶよう堂

株式会社 ぶよお堂

不明

EC-CUBE

現在 オンラインによる商品の購入は休止させていただいております。
また、クレジットカードによる決済はご利用いただけませんので、予めご了承ください。

MYRA Kyoto

株式会社 MYRA Kyoto 2019年1月23日

この度、都合によりオンラインショップの販売をしばらくの間お休みとさせていただきます。
お客様におかれましてはご不便をおかけいたしますが、何卒、ご理解とご協力のほどよろしくお願い申し上げます。

create-flower-ec.com

(株)クリエイト 不明

EC-CUBE

ただいまクレジット決済がご利用いただけません。
ご注文される方はその他のお支払い方法をご利用ください。

b.c.map ONLINE

石井スポーツ

不明

b.c.map-Webshop 只今 メンテナンス中のため ご迷惑をおかけします

叶 匠壽庵

※カード情報漏洩を発表

叶 匠寿庵

2019年3月16日

EC-CUBE

現在、システムハードウェア故障に伴い修理メンテナンスを行っております。
その為、オンラインショップのご利用を停止させて頂いております。

高島屋質店 タカシマ 不明 EC-CUBE
現在、こちらのサイトはメンテンナンスを行っております。
高島屋質店の品物は各モールでも販売しておりますので
よろしければ下記サイトをご覧くださいませ。

JTAS Store

※カード情報漏洩を発表9/17

日本関税協会 2019年5月24日

 EC-CUBE

クレジットカード決済に関するお知らせ
平素より JTAS Store をご利用いただき誠にありがとうございます。
この度、当JTAS Storeのシステムに不具合の可能性があるため、2019年5月24日よりクレジットカード決済のご利用を停止しております。ご利用のお客様には、たいへんご不便とご迷惑をお掛けいたしますことを深くお詫び申し上げます。現在、システムの不具合の原因を調査中でございますが、調査結果が分かり次第、改めまして当協会ホームページでご報告させていただきます。

TAVINOS(藤田観光グループ) ホテルタビノス 2019年5月19日 システムメンテナンスに伴う、クレジットカードオンライン決済サービスの停止について
平素は格別のご高配を賜り、厚く御礼申し上げます。システムメンテナンスに伴い、インターネット宿泊予約でのクレジットカードオンライン決済サービスの取り扱いを休止しております。

京都 一の傳

※カード情報漏洩を発表10/8

 

京都 一の傳 2019年5月17日

EC-CUBE

カード決済サービス停止のご連絡
平素より当店をご愛顧いただきまして誠にありがとうございます。この度、当ショッピングページにおいてシステムに不具合の可能性があるため2019年5月17日からクレジットカード決済のご利用を停止しております。ご利用のお客様には、ご不便とご迷惑をお掛けいたしますこと深くお詫び申し上げます。システム不具合の原因につきましては、現在調査中でございますため、調査結果が出次第、改めて当店ホームページにてご報告をさせていただきます。

恋する豚研究所 恋する豚研究所 2019年5月9日 EC-CUBE
現在、恋する豚研究所のネットストアは、メンテナンスのため一時休止しております。
お客様にはご迷惑をおかけしますが、再開までしばらくお待ちください。
電波社 電波社 2018年07月20日 カード決済をご利用の皆様へ
システム上の問題により、当面の間クレジット決済のご利用を停止しております。
ご不便をおかけいたしますが、何卒ご理解願います。
叙々苑PREMUM SHOP ジェーオージェ― 不明 クレジットカード決済中止のお知らせ
現在、システムをメンテナンス中のためクレジットカードでの決済を一時的に中止しております。お客様にはご迷惑をおかけいたしますが、何卒ご了承のほどお願い申し上げます。
ルートインホテルズ ルートイングループ 不明 【重要なおしらせ】現在システムメンテナンスのため、事前カード決済機能サービスを一時停止しております。お客様にはご不便をおかけいたしますが、 何卒ご理解いただきますようお願い申し上げます。サービス再開につきましては、改めてお知らせいたします。
ホテルグレイスリー(WHG HOTELS) 藤田観光 不明 システムメンテナンスに伴う、クレジットカードオンライン決済サービスの停止について
システムメンテナンスに伴い、インターネット宿泊予約でのクレジットカードオンライン決済サービスの取り扱いを休止しております。
ワシントンホテル(WHG HOTELS) 藤田観光 不明 システムメンテナンスに伴う、クレジットカードオンライン決済サービスの停止について
平素は格別のご高配を賜り、厚く御礼申し上げます。システムメンテナンスに伴い、インターネット宿泊予約でのクレジットカードオンライン決済サービスの取り扱いを休止しております。

 

※補足:ECサイト不正アクセス等の被害を受けてクレジットカード情報を漏洩した疑いがある場合、1-3カ月程度は原因調査(フォレンジック調査)をする事になります。漏洩の疑いのあるECサイト(特に中小サイト)は、フォレンジック調査会社の最終報告書を受領するまではクレジットカード情報を漏洩した事を発表しない傾向があるので、数カ月の間、不自然にカード決済を止めたり、ECサイトを閉じたりする可能性があります。本記事ではそうした可能性があるECサイトを掲載しています。

しかし、様々な事情でクレジットカード決済が純粋に止まっているだけかも知れませんので、本記事にある情報はクレジットカード決済がある時点で止まっている事を提示しているだけであり、不正アクセスを受けた(カード情報が漏洩した)と断定するものではありません。尚、キタきつねと個人としては”予想が外れている”(カード漏洩してない)事を願っております

 

 

f:id:foxcafelate:20190630173821p:plain

更新履歴

  • 2019年6月29日AM(予約投稿)
  • 2019年7月1日PM Autumn Goodさんの指摘を受け「タカシマヤ→タカシマ」の誤記を修正
  • 2019年7月1日PM Chatoranを追加
  • 2019年7月2日PM 叶 匠寿庵を追加
  • 2019年7月3日PM b.c.map ONLINE、create-flower-ec.com、MYRA Kyotoを追加
  • 2019年7月12日PM エイブルマート本店を追加
  • 2019年9月21日AM JTAS STOREを(漏洩発表にて)更新
  • 2019年10月9日PM 京都一の傳を(漏洩発表にて)更新