著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。
今回はシステムトラブルに関するトピックを2つ取り上げる。ショーケースが提供するWebサイト表示最適化サービスなどを利用する企業からのクレジットカード情報流出と、日本臓器移植ネットワークの不正アクセス被害である。
1月に入ってからもなお4社が被害を発表
ECサイトを運営する企業がショーケースのサービスを利用したサイトで顧客の個人情報が漏洩したとする発表が、2023年1月に4件確認できた。1月10日にカバーマーク、1月11日にベストリンク、1月19日に長寿乃里、1月24日にシャルレが発表した。いずれも原因はショーケースへの不正アクセスとしている。
カバーマークの発表によると、同社が運営するECサイト「カバーマーク公式オンラインショップ」の顧客のクレジットカード情報2259件が漏洩した可能性があるという。カバーマーク公式オンラインショップでは、ショーケースのサービス「フォームアシスト」と「サイト・パーソナライザ」を利用していた。
ショーケースは2022年7月、同社が提供するサービスに不審な点があると取引先に指摘され、10月25日にサービスのソースコードが改ざんされたと発表していた。この改ざんにより、取引先のサイトで情報が外部に流出する可能性があるとした。このときの発表では、影響を受けるのは限定的だとして、影響を受ける範囲について触れていなかった。
筆者が確認したところ、2023年1月24日までにショーケースへの不正アクセスを原因とする情報流出被害を発表した企業は11社を数える。1月に発表した4社は2022年7月にクレジットカード情報が漏洩した可能性があるとショーケースから連絡を受けていたが、いずれも調査会社からの報告書を待ち、クレジットカード会社などと連携するために発表までに時間がかかったと説明している。
また、4社がクレジットカード情報を流出させた被害者に通知した時期が大きく異なっていた。ベストリンクはショーケースが発表した2022年10月25日、シャルレは11月1日に通知していたが、カバーマークと長寿乃里は2023年のそれぞれの発表日に通知するとした。
(カバーマークの発表資料)
