piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

フォーム入力支援やサイト最適化サービスの改ざんについてまとめてみた

2022年10月25日、ショーケースは同社が提供する複数のサービスが不正アクセスを受けたため、サービスを利用する企業のWebサイトを通じて入力された情報が外部へ流出した可能性があると公表しました。ここでは関連する情報をまとめます。

フォーム入力支援やサイト最適化サービス改ざんで複数社に影響波及

www.showcase-tv.com

  • 不正アクセスによりショーケースが提供するサービスのソースコードの改ざんが行われた。対象サービスが稼働するシステムの一部で脆弱性を悪用されたことが原因。
  • 被害に遭ったのは「フォームアシスト」「サイト・パーソナライザ」「スマートフォン・コンバータ」の3つ。フォームの入力支援やサイト表示最適化を行うサービスで利用企業は同社が公開するJavaScript (formassist.jpnavicast.jp上で公開)を自社サイトより読み込むことで利用する。
改ざん被害を受けたサービス*1 サービス概要
フォームアシスト フォーム画面において、カラーリングや郵便番号検索等の入力支援の他、項目毎の数値分析やフォーム改修が可能。
サイト・パーソナライザ 利用者属性を記録し、その属性に合わせた接客用のコンテンツ(「後、*円のお買い上げで送料無料」を表示するバナー等)を表示。
スマートフォン・コンバータ PC向けサイトをスマートフォン向けに最適化。
  • 対象サービスを導入している一部の企業のWebサイトを利用した人がフォームより入力した情報が外部へ流出した可能性が生じた。対象となる利用企業にはショーケースから流出の可能性のある情報とその期間を個別に連絡済み。なお具体的な件数は開示していないが、限定的であると表現している。
  • ショーケースは影響を受けたサービスを通じて、利用企業のWebサイト上より入力された個人情報の取得や取り扱いは行っていないと説明している。
  • リリースや報道よりソースコードに対してどのような改ざんが行われたのか詳細は明らかにされていないが、ショーケースは「不正なファイルの埋め込み」と表現している。また出光クレジットの複数日発生した改ざん期間中、7月19日は9分間のみであった。
サービス改ざんを通じて利用各社のフォームに影響が及んだ流れ
ショーケースの事態把握後の対応

ショーケースが事態把握後に対応した再発防止策は以下のもの。これら実施後に不正なファイルの埋め込みは発生していない。

  • 対象サービスのソースコードの修正
  • 第三者による侵入遮断
  • サーバーの新設および移行

また次の2つの組織でのフォレンジック調査が行われている。

  • 外部のセキュリティ企業
  • クレジットカード情報漏えい事故調査機関

サービス利用する複数社からカード番号が流出した可能性

  • 2022年11月10日時点でpiyokangoが確認した被害公表を行っている企業は6組織。
  • いずれもショーケースより連絡を受け発覚したもので、当初の発端となったソースコード中の不審な記載に気づいた企業が含まれていないことから、他に影響を受けた企業が存在している可能性あり。
被害企業(対象サービス) 流出の可能性のある人数 流出の可能性のある情報 対象期間 利用していたとみられるサービス*2
出光クレジット
(ウェブステーション)
掲載無し クレジットカード番号、有効期限、セキュリティコード、生年月日 2022年7月19日7:49~7:58
2022年7月21日10:39~2022年7月26日20:33
2022年7月27日9:53~2022年7月29日0:20
スマートフォン・コンバータ
ユーキャン
(生涯学習のユーキャン)
200件 クレジットカード番号、有効期限、セキュリティコード、カード名義人 2022年7月24日~2022年7月26日 フォームアシスト
エービーシーマート
(ABC-MART公式オンラインストア)
2,298件と報道*3 クレジットカード番号、有効期限、セキュリティコード 2022年7月24日~2022年7月26日 スマートフォン・コンバータ
富士フイルムイメージングシステムズ
(FUJIFILMプリント&ギフト)
851件 クレジットカード番号、有効期限、セキュリティコード 2022年7月19日~2022年7月29日 フォームアシスト
富士フイルムイメージングシステムズ
(フジフイルムモール)
519件 クレジットカード番号、有効期限、セキュリティコード 2022年7月19日~2022年7月29日 フォームアシスト
カクヤス
(カクヤスネットショッピング)
8,094件 クレジットカード番号、有効期限、セキュリティコード 2022年7月19日 7時50分~2022年7月29日1時49分32秒 フォームアシスト
エスビー食品
(お届けサイト)
164件 クレジットカード番号、有効期限、セキュリティコード 2022年7月19日~2022年7月29日 サイト・パーソナライザ
日本出版販売
(Honya Club.com)
424件 クレジットカード番号、有効期限、セキュリティコード 2022年7月19日~2022年7月28日 スマートフォン・コンバータ

関連タイムライン

日時 出来事
2022年7月19日~7月26日 改ざん発生によりサービス利用企業の入力フォームが影響を受け、入力された情報が外部に流出した可能性。
2022年7月26日 ショーケースに対して取引先よりフォームアシストのソースコード中に不審な記述があると指摘。
2022年7月27日~7月29日 改ざん発生によりサービス利用企業の入力フォームが影響を受け、入力された情報が外部に流出した可能性。
2022年7月28日 ショーケースが影響を受けた企業へ情報流出の可能性について連絡。
2022年8月4日 出光クレジットが情報流出の可能性について公表。
2022年10月25日 ショーケースがサービスの改ざん被害と情報流出の可能性について公表。また同日以降、サービス利用企業から情報流出の可能性について公表。

更新履歴

  • 2022年10月27日 AM 新規作成
  • 2022年10月27日 PM 報道情報反映
  • 2022年10月27日 PM 被害事例にフジフイルムモールを追記
  • 2022年11月2日 AM 被害事例にカクヤスを追記
  • 2022年11月11日 AM 被害事例にエスビー食品を追記
  • 2022年11月16日 PM 被害事例に日本出版販売を追記

*1:メンテナンス中のため、アーカイブを記載

*2:サービス名直接の表記がなく、各社の説明よりpiyokangoが推定したもの。

*3:カード情報3800件超流出か 物販サイト向けプログラム改ざん,朝日新聞,2022年10月27日