piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

オムニECサイトへの不正アクセスについてまとめてみた

ベイシアは同社が運営するECサイトが不正アクセスの被害に遭い、同サイト利用者のクレジットカード情報などが外部へ流出した可能性があると公表しました。ベイシアはジーアール、東芝テックにサイトの運営を委託しており、2社からは9月にオムニECサイト(オムニECシステム)での不正アクセス被害が公表されています。ここでは関連する情報をまとめます。

運用委託先に不正アクセス 複数社に影響

  • ベイシアがクレジットカード会社から同社のサイト利用者のクレジットカード情報流出の懸念があるとの連絡を受け発覚した。流出した可能性のあるカード情報の件数は最大3,101件、個人情報は最大25万4,207件。対象期間中のログが十分に残っていなかったことから流出の対象者特定に至らず、最大件数の公表として行われている。*1
  • 同社がECサイトの制作と運用を委託していた東芝テック、およびジーアールのオムニECシステムに対して不正アクセスが行われていたことが原因。ジーアール、および東芝テックがサービスを提供する複数社に対して影響が及んでおり、各社から情報流出の可能性について被害公表が行われている。東芝テックは個人情報流出の痕跡は一部の取引先に対するサービスのみと説明。ジーアールは9月1日時点でシステム利用企業から利用障害に関する問合せを受けたとしていた。
  • ジーアールのオムニECシステムが運用される専用サーバーにシステム上の脆弱性が存在しており、これを悪用され不正プログラムが設置された。不正アクセスを受けたサーバーは2台。ペイメントアプリケーションの改ざんが行われたことで当該サーバーを利用したWebサイト上で入力した情報や、そしてデータベースへ断続的にアクセスが行われたことにより保管されていた情報が外部へ流出した可能性がある。また一部ストアではクロスサイトスクリプティングの脆弱性悪用とそれを通じたデータベースのマスタ参照が出来る状態となったことが報告されている。
  • ジーアールは今回の事案発生以前から毎月のシステムチェックと2か月に一度のペースでプログラム改修、セキュリティ強化を行っていたと利用企業に説明している。事案覚知以降は15分毎に不正なプログラムの監視等を行うようにした。
各社の状況

2021年11月2日時点でベイシアを含む10社から情報流出の可能性が公表されており、これについてまとめたところ次の通り。
f:id:piyokango:20211202060916p:plain
※ ジーアールの社名掲載はないが、発生時期、内容から関連事象として推定し整理。

影響を受けた企業 被害公表
ベイシア [PDF] 弊社「ベイシアネットショッピング」委託先への不正アクセスによるお客様情報流出に関するお詫びとお知らせ
サミット [PDF] 弊社「サミット予約ネット」委託先への不正アクセスによるお客様情報流出に関するお詫びとお知らせ
リウボウストア オンラインショップへの不正アクセスによる個人情報漏えいについて
天満屋ストア [PDF] お客様情報の流出の可能性に関するお知らせとお詫び
丸久 お客様情報の流出の可能性に関するお知らせとお詫び
マルヨシセンター [PDF] 弊社が使用する「オンライン予約販売システム」への不正アクセスによるお客様情報の流出に関するお詫びとお知らせ
グラントマト 不正アクセスによる個人情報流出の可能性のお知らせとお詫びについて
不正アクセスによる個人情報流出の可能性に関する調査結果のご報告
杏林堂薬局 [PDF] 「杏林堂(公式)オンラインショップおよび「店頭予約者情報」への不正アクセスによるお客様情報漏えいに関するお詫びとお知らせ
不正アクセスによる個人情報流出の可能性に関する調査結果の追加のご報告
芝寿し [PDF] 弊社「芝寿しオンラインショップ」委託先への不正アクセスによるお客様情報流出に関するお詫びとお知らせ
アヤハディオ [PDF] 弊社が運営する「アヤハディオネットショッピング」への不正アクセスによるお客様情報漏洩に関するお詫びとお知らせ

関連時系列

各社の関連時系列をまとめたところ次の通り。

日時 出来事
2021年3月23日 杏林堂オンラインショップの脆弱性を悪用し不正な注文情報が登録される。
2021年3月25日 杏林堂オンラインショップに対して不正アクセスが開始される。
同日 リウボウストアのEC会員登録者情報が外部へ流出した可能性。
2021年4月7日 グラントマトオンラインショップの脆弱性を悪用しペイメントアプリケーションの改ざんが行われ、8月19日までカード情報が流出。
2021年4月8日 リウボウストアの店頭予約者情報が外部へ流出した可能性。
2021年4月26日 ジーアールのサーバーに不正なプログラムが設置。
2021年9月1日 クレジットカード会社よりベイシアへカード不正利用懸念の連絡。
同日 ベイシアからジーアールへ情報を共有。外部の専門企業による詳細調査を開始。
2021年9月3日 ベイシアが所轄警察署へ被害状況を報告。
同日 ジーアールが同社のサービスで使用するサーバーに対して不正アクセスが行われていたことを確認。
同日 ジーアールが東芝テックに不正アクセスについて報告。
同日 協力会社がアヤハディオへ情報流出懸念について報告。
2021年9月4日 ジーアールが丸久、サミットに情報流出の件数、内容を報告。
2021年9月6日 ジーアールが追加の監視対策を実施。
2021年9月15日 丸久、天満屋ストア、芝寿しが個人情報保護委員会へ情報流出について報告。
2021年9月16日 ジーアール、東芝テックが不正アクセス被害について公表。
同日 天満屋、サミット、マルヨシセンターが不正アクセスによる情報流出の可能性について公表。
2021年9月17日 丸久、グラントマト、リウボウストアが不正アクセスによる情報流出の可能性について公表。
2021年9月22日 ベイシアが個人情報保護委員会へ情報流出について報告。
2021年10月12日 芝寿しが所轄警察署に状況報告。
2021年10月13日 ベイシアが依頼した専門企業による調査が完了。
2021年11月1日 ベイシアが不正アクセスによる情報流出の可能性について公表。
2021年11月10日 杏林堂薬局が不正アクセスによる情報流出の可能性について公表。
2021年11月30日 芝寿しが不正アクセスによる情報流出の可能性について公表。
2021年12月1日 アヤハディオが不正アクセスによる情報流出の可能性について公表。

更新履歴

  • 2021年11月3日 AM 新規作成
  • 2021年11月10日 PM 追加事例反映
  • 2021年11月18日 PM 追加事例反映
  • 2021年12月2日 AM 追加事例反映