三越伊勢丹、新たに約3万件の会員情報漏えい明らかに ECサイトに不正ログイン

三越伊勢丹は「三越伊勢丹オンラインストア」と「エムアイカード」の会員が不正ログインの被害に遭った件について、新たに約3万件の会員情報が盗み見られた可能性があると発表しました。
8月の発表時点では約1万9000件と報告していたが、改めて第三者機関による調査を行った結果、新たに約3万件の不正ログインを受けた可能性のある会員アカウントが判明しました。
閲覧された可能性のある会員情報は、
・氏名       ・住所       ・電話番号       ・メールアドレス       ・生年月日
・クレジットカード番号の下4桁
などです。
9月11日までにクレジットカードやポイントの不正利用は確認されていません。
三越伊勢丹は不正ログインを受けた可能性のある会員にはパスワードの変更を呼び掛けています。

─ YODOQの見方───────────────────────────

今回の件はユーザーからの問い合わせで発覚したものです。
ユーザーから身に覚えのないログイン通知を受けたと報告があり調査した結果、海外のIPアドレスからの不正ログインが確認されました。また、このような不正アクセスは直近の1カ月だけでも複数報告されています。
MammyProは母親向け情報サイト「ママNavi」が不正アクセスを受け、会員情報が流出した可能性があると発表しました。こちらは、攻撃者と思われる人物から問い合わせ窓口に「ママNaviをハッキングした」というメールが届き、第三者機関が調査した結果、情報漏洩の痕跡が見つかりました。
ウェスティンホテル大阪ではクレジットカード会社から「顧客カード情報についての流出懸念」の通知を受け調査した結果、クレジットカード情報が流出した可能性があると発表しました。

このように不正アクセスは日々行われており、それらをいかに防ぐかがECサイト運営側の課題となっています。今までは、サイトやサーバの脆弱性を利用した侵害や改竄などにより不正アクセスが行われていましたが、それらはサイトやサーバの脆弱性対策、コンテンツの改竄防止、管理者権限の厳格化などサーバのセキュリティを強化することで防ぐことができました。

しかし、WEBサーバのセキュリティの強化、WAFの導入などでは防ぐことのできないWEBスキミング攻撃が確認されています。
この攻撃は「Magecart(メイジカート)攻撃」と呼ばれ、サードパーティースクリプトを用いた攻撃です。「Magecart攻撃」は直接WEBサイトに攻撃をするのではなく、WEBサーバが参照している、サードパーティーベンダーを攻撃して間接的に情報を取得するもので、サードパーティーのサーバに攻撃をし、Javascriptの改竄が行われます。改竄内容としては、特定のキーワードを検知した場合、偽の決済フォームを表示させたり、正規のフォームの裏側で入力情報を取得したりなどです。そしてその改竄されたJavascriptをサイトが参照することで間接的に決済情報を取得します。

このように自社サーバのセキュリティの強化などでは対応できない攻撃が行われています。
自社だけでの対策ではなく、サイトに関係するすべての企業と連携した対策が今後求められていくのではないでしょうか。