※調査が遅くなっていますが、1月分のカード情報漏えい発表を調べております
公式発表
・お客様情報漏洩の可能性に関するお詫びとお知らせ(1/10)魚拓
2.クレジットカード情報漏洩状況
(1)原因
ショーケース社のサーバーへの第三者の不正アクセスにより、当社ECサイトにおいて導入していた、ショーケース社が提供する以下サービスのプログラムが改ざんされたため。・フォーム入力支援システム「フォームアシスト」
・サイト内にバナーを表示するシステム「サイト・パーソナライザ」
(2)漏洩の可能性のある件数
2022年7月19日~2022年7月26日にカバーマーク公式オンラインショップにおいてご注文時にクレジットカード決済をされたお客様のクレジットカード情報 2259件(3)漏洩の可能性のある項目
クレジットカード番号、有効期限、セキュリティコード
キタきつねの所感
昨年10月に不正アクセス被害を発表したショーケース社顧客のカード情報漏えい発表です。カード情報漏えいの発表”サイクル”の時差に少し違和感を覚える方も多いかと思いますが、侵害が確認されてから半年程度は詳細発表までかかる事が多いので、やはり出てきたか・・と感じます。
サイト最適化・フォーム入力支援サービスがECサイトで使われていたとすれば、そのサービスへの侵害に成功した攻撃者は当然の事ながら、個人情報だけでなくカード情報も狙っていた、その答え合わせがこうしたリリースなのかと思います。
改めてショーケース関係の被害リリースをまとめてみると、現在までの所で(少なくても)12のECサイトが被害を出している事がわかります。
| 事件公表日 | 企業名 | 侵害期間 | カード漏洩件数 | 調査完了日 | リリース |
| 2022/8/4 | 出光クレジット | ー | ー | ー | 【重要】個人情報漏洩に関するお詫びとお知らせについて |
| 2022/10/25 | エービーシーマート | 2022/7/24~7/26 | 非公表 | 2022/9/28 | 弊社が運営する「ABC-MART公式オンラインストア」における個人情報漏えいの可能性に関するお詫びとお知らせ |
| 2022/10/26 | 出光クレジット | 2022/7/19 2022/7/21~7/29 |
非公表 | ー | 【重要なお知らせ/続報】個人情報漏洩に関するお詫びとお知らせについて |
| 2022/10/26 | 株式会社ユーキャン | 2022/7/24~7/26 | 200件 | 2022/8/12 | 弊社が運営する「生涯学習のユーキャン」サイトにおける個人情報漏洩に関するお詫びとお知らせ |
| 2022/10/26 | 富士フイルムイメージングシステムズ | 2022/7/19~7/29 | 851件 | 2022/10/11 | 弊社が運営するECサイト「FUJIFILMプリント&ギフト」への不正アクセスによるクレジットカード情報漏洩に関するお詫びとお知らせ |
| 2022/10/26 | 富士フイルムイメージングシステムズ | 2022/7/19~7/29 | 519件 | 2022/10/11 | 弊社が運営するECサイト「フジフイルムモール」への不正アクセスによるクレジットカード情報漏洩に関するお詫びとお知らせ |
| 2022/11/1 | カクヤス | 2022/7/19~7/29 | 8,094件 | 2022/10/24 | 【重要】クレジットカード情報漏洩に関するお詫びとお知らせについて |
| 2022/11/10 | エスビー食品 | 2022/7/19~7/29 | 164件 | 2022/10/19 | クレジットカード情報漏えいに関するお詫びとお知らせ |
| 2022/11/15 | 日本出版販売 | 2022/7/19~7/28 | 427件 | 2022/10/27 | 不正アクセスによるクレジットカード情報流出に関するお詫びとお知らせ |
| 2023/1/10 | カバーマーク | 2022/7/19~7/26 | 2,259件 | 2022/12/8 | お客様情報漏洩の可能性に関するお詫びとお知らせ |
| 2023/1/11 | ベストリンク | 2022/7/24~7/26 | 15件 | 2022/11/11 | 弊社が運営する「e-ca公式サイト」における個人情報漏えいに関するお詫びとお知らせ |
| 2023/1/19 | 長寿乃里 | 2022/7/19~7/29 | 37件 | ー | クレジットカード情報漏洩に関するお詫びとお知らせについて |
| 2023/1/24 | シャルレ | 2022/7/19~7/26 | 605件 | 2022/10/19 | 弊社ウェブサイト「CHARLE WEB STORE(シャルレ ウェブストア)」へのサービス提供会社における個人情報漏えいのおそれに関するお詫びとお知らせ |
比較的早めに侵害を検知できた事もあり、被害を受けた全てのECサイトで7/30日以降はカード情報の漏えいは発生していませんが、約2週間の攻撃だったにも関わらず、1月になってもまだリリースが出てくるという事実は、フォレンジック調査の完了日を見ると透けて見えてくるのですが、一気に調査が出来ない(調査リソースには限界がある&各企業での調整に時間がかかった)事を物語っています。
また、金融業界ではカードブランドルールに則って侵害事案が発生した際には”フォレンジック調査”が必須とされるのでリリースは詳細調査を待ってから、というECサイトが多い事が影響しているのかと思いますが、侵害の事実をショーケース社から昨年7月には全てのECサイトが連絡を受けていただろう事を考えると、公表が遅い所が多い気がします。
今回のインシデントでは関係者調整が難しかったのだろうと推察しますが、本来はショーケース社がきちんと影響範囲を明記したリリースを出すべきだったと思います。
※昨年同様にサービスプロバイダーとして侵害を受けたメタップスペイメント社は、何度かのリリースを出しており、その中では最大のカード情報漏えい件数(影響範囲)を明記しています。
五月雨に各ECサイトがインシデント発表をしている(長引いている)原因の一端は、ショーケース社のインシデント対応にあるのではないでしょうか。
※尚、以前もどこかのインシデント記事(ショーケース社関連)で書きましたが、ショーケース社の”導入事例”を調べてみると、大手企業が結構名を連ねています。おそらく影響は無かったのだろうと思いますが、もしかすると2月に別な”リリース”が出てきてしまう事を懸念しています。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
- 2023年2月6日 AM
