11社もの流通業のEC(電子商取引)サイトから顧客情報が流出した。約80社が利用するSaaSのサーバーがサイバー攻撃を受けたためだ。漏洩した可能性がある利用者情報は延べ43万件以上で、カード情報も含まれる。攻撃手法は「クロスサイトスクリプティング(XSS)」だった。SaaSの提供元は攻撃検知ツールなどを導入していたが、守りを突破された。
「御社のEC(電子商取引)サイトからクレジットカード情報が漏洩した可能性がある。調査してほしい」。2021年9月1日、流通大手のベイシアはクレジットカード会社から連絡を受けた。
クレジットカード会社がカード会員からの問い合わせを基に調査した結果、クレジットカードが不正利用されたと判断した。カード会員の利用履歴から判断すると、ベイシアのECサイト「ベイシアネットショップ」からの漏洩が疑われるという。
ベイシアはSaaS(ソフトウエア・アズ・ア・サービス)型のECサイト構築サービスを使って自社ECサイトを運用していた。京都市に本社を置くITベンダー、ジーアールが提供する「オムニECシステム」だ。カード会社からの報告を受けたベイシアは提供元のジーアールに問い合わせた。これが、ベイシアを含む11社からの顧客情報漏洩が明るみに出る発端となった。
SaaSに不正アクセスの痕跡
ジーアールは外部の専門家を交えてすぐに調査を始めた。2021年9月1日から調査に着手し、同日にはアクセスログから、オムニECシステムの基幹サーバーに対する不正アクセスの痕跡を見つけた。さらに9月3日には、この基幹サーバーに攻撃者が用いたとみられる不正なプログラムがあることを発見した。
ジーアールによれば、オムニECシステムの利用企業は約80社ある。オムニECシステムは流通業界に強い東芝テックが販売代理店となっており、東芝テック経由での販売実績が59社ある(一部退会も含む)。
ジーアールは東芝テックとともに9月3~5日にかけて、利用企業の全社に顧客情報が漏洩した可能性があると伝えた。報告を受けた各利用企業はクレジットカード会社の指導の下、ジーアールなどと連携しながら、実際に漏洩した可能性がある顧客情報の範囲を特定する作業を始めた。
ジーアールは9月6日、京都府警中京警察署に被害届を出すとともに、応急措置としてサーバーに対する外部からのアクセスを遮断する対策を施した。そして不正アクセスの分析や原因究明に着手した。
顧客情報を格納するデータベースが不正に参照された範囲の特定には慎重を期する必要があった。データベースのアクセスログが改ざんされているなどの疑いがあったためだ。このため不正アクセスを受けた顧客情報の範囲は、外部の専門家を交えて、デジタルフォレンジックなどの手法を用いて特定すべく調査を進めた。
