piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

カードの有効性確認が発覚した情報漏えいについてまとめてみた

クレジットカードの不正利用の調査からショップサイトを通じてカードの有効性確認が行われていた事例が報告されています。ここでは関連する情報をまとめます。

有効性確認が確認されるまでの経緯

f:id:piyokango:20190425114108p:plain

  • ショップサイトへ決済代行業者から不正利用の疑念ありとの連絡。
  • 調査により不正アクセスによりカード情報を盗まれていたことが判明。
  • 調査結果より盗まれた大半のカード情報が有効性確認に利用されたものと判明。

被害を受けたWebサイト

  • 自社サイトへ「カードの有効性確認」が行われたと発表した組織(piyokangoが確認したもの)
No 発表日 被害組織 被害状況(対象期間) 原因
1 2018年12月7日
2018年12月14日(補足)
エディットモード
(editmode.jp)
カード情報2,169件流出
(2,169件で決済成立)
期間:2018年3月7日~2018年7月11日
外部からアクセス可能な状況となっていたため
2 2019年4月23日 エーデルワイン
(shop.edelwein.co.jp)
最大31,231会員情報流出
(1,140件で決済成立)
期間:2015年7月8日~2018年8月5日
システムの一部の脆弱性を攻撃されたため

2社とも流出したカード情報は以下4項目*1

  • カード名義人名
  • カード番号
  • カード有効期限
  • セキュリティコード

調査で明らかになった有効性確認行為

  • 自社外の情報を用いて自社サイトで利用可能かを確認されたと説明。
  • 自社サイトの決済が成立するかで有効性を確認していたとみられる。
  • 有効性確認の具体的な手口は明らかにされていない。
エディットモード 弊社サイト外で流出したであろうカード情報を、弊社サイトを使用して利用可能か確認することです。本件では大量に入力した痕跡を確認いたしました。
エーデルワイン カードの有効性確認とは、機械的に作成したカード情報を弊社サイトで使い、利用できるかを確認するものです。

エディットモードへの不正アクセス

補足発表で明らかにされた手口は以下の通り。

  1. 何者かがeditmode.jpへ不正アクセス
  2. 決済時に(一時利用のみであったはずの)カード情報をWebサーバー上に保管するようにシステム改変
  3. 保管されたクレジットカード情報を何者かが複数回ダウンロード
  • 何者かが2,3の間で有効性確認の決済を行っていたとみられる。
  • サーバーからダウンロードされたカード情報総数は14,679件。
  • この内、2,169件(14.8%)で実際に決済が成立していた。
  • エディットモードへの不正アクセスと有効性確認の関連は不明。
  • エーデルワインが同様の手口だったのかは不明。

更新履歴

  • 2019年4月24日 AM 新規作成
  • 2019年4月25日 PM 誤解を招くため、タイトル、本文内容を追加・修正。まとめ、イメージ図を追加。更新前の記事。

*1:会員情報の他項目については言及されていない。