著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。

 2019年6月第3週の注目ニュースは3件。最初は、フィッシングサイトを作られた熊本ワインのトラブルを取り上げる。

熊本ワインの通販サイト改ざんでクレジットカード情報が流出(6月17日)

 通販サイトのフィッシングサイトと思われるWebページが2019年6月に相次いで見つかっている。筆者も、熊本県のワイナリーである熊本ワインなどのフィッシングサイトと思われるWebページを複数確認した。

熊本ワインのフィッシングサイトだと思われるWebページ

 熊本ワインは、クレジットカード情報の流出被害を6月17日に発表。流出したクレジットカード情報による不正利用も発生し、同社がクレジットカード会社に支払う賠償額は1000万円以上になる見込み。利用者には、金銭の被害はないとしている。

クレジットカード情報の流出を伝える熊本ワインのリリース
(出所:熊本ワイン)

 攻撃者は、同社の通販サイトのシステムを改ざん。決済時にアクセスする決済代行業者へのリンクを、フィッシングサイトのURLに書き換えたとしている。

 同社は被害が1月22日に判明した後、改ざんされた部分を修正して通販サイトの運営を続けた。しかし、1月30日に再度改ざんが判明し、同日クレジット決済機能を停止したという。

 このフィッシングサイトで決済した利用者は、2018年12月5日~2019年1月30日の間に利用した444件。この入力情報が不正利用されたとみられる。

 同社は被害が判明した後、セキュリティー企業に調査を依頼。その結果、改ざん被害のほかに、外部からシステムのデータベースにアクセスできる脆弱性が見つかったという。利用者の住所や氏名、電話番号、メールアドレスなどの個人情報が最大7542件流出した恐れもあるとしている。

 3月30日にセキュリティー企業の調査結果を受け取ってから6月17日まで、被害を発表していなかった。その理由については、「発表内容や発表方法について、クレジットカード会社との同意に時間がかかったため」(同社担当者)としている。

 熊本ワインのフィッシングサイトが開設されたサーバーは、決済代行業者が利用するドメイン名と似たドメイン名を使っていた。また同じサーバー上には、熊本ワインのほかに、JA秋田しんせいのフィッシングサイトと思われるWebページも確認できた。JA秋田しんせいは4月26日、同組合の通販サイトからのクレジットカード情報の流出被害を発表している。

https://www.kumamotowine.co.jp/wp-content/uploads/2019/06/2019-06-17news.pdf

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら