概要メモ
(1)概要
セブンネットショッピングが不正アクセスを受け、不正ログインの被害を受けた。
また同社Webサイトの脆弱性を通じて不正ログインした第三者により、クレジットカード
情報が最大15万件程度閲覧された可能性がある。
(2)発生個所
・セブンネットショッピング
http://www.7netshopping.jp/
(3)発生時期
(不正アクセスが行われていた期間)
2013年4月17日~2013年7月26日
(4)被害状況
・第三者が不正なログインを行った。
・顧客情報が閲覧された可能性がある。
・閲覧された可能性のあるクレジットカードが悪用された可能性がある。
・当該サイトからの情報漏えいは確認されていない。
・被害対象はセブンネットショッピングのみ。
(5)原因
(不正ログインを受けた原因)
・第三者が外部サービスより取得したと思われるID、パスワードを使用して、
なりすましてログインしたため。
(クレジットカード情報が閲覧された可能性のある原因)
・セブンネットショッピング「いつもの注文」の一部のプログラムに脆弱性が存在し、
この脆弱性をついてクレジットカード情報が閲覧された可能性があるため。
(6)発端
・クレジットカード会社からカード情報流出の疑念について連絡を受けたことによる。
被害詳細
・不正ログインされた件数、試行回数はともに不明。(C)
・不正ログインが行われたものの内、セブンネットショッピング「いつもの注文」に
登録した以下の個人情報150,165件(最大)が第三者により閲覧された可能性がある。(C)
届け先氏名
住所
電話番号
クレジットカード番号
クレジットカード有効期限
・この件を受けて流出したと思われるクレジットカードが悪用された可能性がある。(C)
・セブンネットにおける以下のサービス利用者は対象外。
e.デパート
http://edepart.7netshopping.jp/ss/app/common/index
ネットスーパー
https://iy-net.7netshopping.jp/iyns/nspc/seven_ns_top.do
セブンミール
http://7meal.7netshopping.jp/
アカチャンホンポ
http://akachan.7netshopping.jp/shopping/c/c
チケットぴあ
http://www.7netshopping.jp/ticket/
トラベル
http://tabi.7netshopping.jp/
・セブンネットショッピング利用者も認証にYahoo等外部の認証機能を使っている場合は対象外。
インシデントレスポンス情報
(1)事前準備
・不明
(2)初期対応
・クレジットカード会社から連絡を受け調査。
・情報セキュリティ専門会社へ調査協力依頼。
(3)連絡・広報
・不正ログイン被害を受けたことについて発表。
・不正ログインの被害を受けたユーザーへメールにて個別に連絡。
・不正ログイン被害に関する問い合わせ窓口を設置。
※いずれも被害発覚直後ではなく、一通りの復旧再発防止の対応が完了してからの対応。
(4)復旧・再発防止
・個人情報の閲覧が可能であった「いつもの注文」のプログラムの修正。(即日対応)
・クレジットカード会社へ不正使用モニタリングを強化し、悪用防止措置を実施。
・ログイン認証機能を強化。
(何度か入力を誤った場合、画像文字を入力させる方式を追加。)
・不正ログインの被害対象か確認できる画面を設置。
https://www.7netshopping.jp/bks.svl?CID=ESI810
(5)恒久対応
・情報セキュリティ専門会社と連携し、システムのセキュリティの更なる強化。
https://matome.naver.jp/odai/2138250202202142201/2138251294612802603
「いつもの注文機能」の脆弱性
Q.「いつもの注文方法」とは何ですか?
A.よく使う注文方法を、事前にご登録いただくことで注文時の入力が省略できる機能です。登録や変更はサイト右上の「会員サービス」またはご注文画面で設定できます。 一度ご登録いただきますと、次回ログイン以降、カート内でお選びいただけます。
セブンネットショッピング
WHB@WhitehouseBox
WHB@WhitehouseBox
・セブンネットはプレス等でこの脆弱性については詳細を明らかにしていない。
・報道によればセブンネットが明らかにしている情報は次の通り。
-XSS等ではないが、セキュリティに関係する事柄のため、詳細は明らかにしていない
-安全対策でクレジットカード番号は下4桁しか表示されない実装となっているが、
クレジットカード番号が全部、閲覧できる可能性がある不具合。
・以下勝手な推測
発見時に即改修を行った
→ 1日程度で改修出来る脆弱性。
セッション周りの脆弱性である可能性は低そう。
サービス利用者約156万人に対して漏えいした件数が10分の1程度であった
→SQLインジェクションであれば利用者全員の情報が抜かれることが多い。
またわざわざなりすましを併用する必要もない。
よってSQLインジェクションの脆弱性である可能性は低そう。
「パスワードは使い回ししていないのに漏えい対象だった」と報告する人が見受けられる
・セブンネット発表によれば対象者は以下の通り。
セブンネットショッピングの会員サービス「いつもの注文」に
クレジットカード情報を登録されているお客様の一部。
・今回の情報漏えいの被害の対象となるには
①第三者のなりすましによる不正ログインが成功する
②「いつもの注文方法」機能の脆弱性によるクレジットカード番号の
表示が行われる(場合がある?)
の2つが必要となる。
①が成立しない場合、②による情報漏えいも起こりえないと考えられる。
しかし一部の方によればパスワードは使いまわししていない、ID(メールアドレス?)も専用のものを使っていたと①のなりすましログインが成立する可能性は限りなく低いにも係らず、情報漏えいの対象であると判定ページで表示された人がいる模様。
(例)
https://twitter.com/non_tubu/status/393216482022158336
https://twitter.com/no_softbank/status/392940008539041792
http://security.slashdot.jp/comments.pl?sid=614863&cid=2483167
http://engawa.2ch.net/test/read.cgi/poverty/1382495201/111
http://engawa.2ch.net/test/read.cgi/poverty/1382495201/418
http://kohada.2ch.net/test/read.cgi/shop/1351469340/306
http://uni.2ch.net/test/read.cgi/newsplus/1382501997/47
http://b.hatena.ne.jp/morobitokozou/20131023#bookmark-166386178
・使いまわしてないのに対象とされている理由として例えば次の可能性が考えられる。
(1)情報漏えい対象の判定ページの精度が悪く、実際は対象でなくとも対象と表示された。
(2)「いつもの注文方法」機能の脆弱性が誰でも閲覧できる深刻なものであった。
(3)セブンネットが未公開の脆弱性が存在し、それを突かれた。
(4)使いまわししていないと思っていたが、実は使いまわししていた。
(5)使いまわしはしていなかったが、安直なパスワードを使っていた。
尚、この件について情報交換を行っている2ちゃんねるを覗くと
Yahoo IDを使っていたにも関わらず、漏えいの「対象」だったとの書き込みがある。
—————————————————————————
252 :番組の途中ですがアフィサイトへの転載は禁止です:2013/10/23(水) 16:15:29.36 ID:/ZTZfNJW0
yahoo IDで使ってるけど対象になってるわ
カードは前の有効期限なんでよかったぽい
—————————————————————————
http://engawa.2ch.net/test/read.cgi/poverty/1382495201/252
・Yahooを使っていたのに対象だったという書き込みは複数ある。
http://kohada.2ch.net/test/read.cgi/shop/1351469340/288
http://kohada.2ch.net/test/read.cgi/shop/1351469340/296
http://uni.2ch.net/test/read.cgi/newsplus/1382501997/77
・「Yahoo IDが対象外である」ことはセキュメモの小島先生が電話で確認している。
—————————————————————————
セブンネットショッピング特設センターに電話してみたところ、
今回の件はセブンネットショッピング独自のアカウントの場合のみ該当で、
Yahoo など外部サイトを使ってログインしている場合は対象外
—————————————————————————
https://www.st.ryukoku.ac.jp/~kjm/security/memo/2013/10.html#20131023__7netshopping
・しかし、「提携先からの流出であることは間違いない」と電話対応を受けたとの
書き込みもある。
—————————————————————————
119 :名無しさん@13周年:2013/10/23(水) 15:51:53.61 ID:5rImAQ2R0
TELして訊いてみた
IDとパスワードが流出したのは、ヤフー・NTTなどの提携先経由で
セブンネット本体からの流出したものではないことを確認している
と言われたので、セブンネットで作成したIDとパスワードでしか利用していないのに
流出対象になっていると告げると、確認すると言われ保留にされる
結局、提携先からの流出であることは間違いないが、どこの提携先かは特定に至ってない。
流出対象者の特定はサイトへのアクセスログで行った。との説明。
流出対象者である旨のメールが来てない、自分で調べてはじめて対象者と判別できる様では
不親切だというと、メールは送っているはずです、と言うが
現実にセールのメールしか来ていない。
カード会社に連絡して不正利用の監視してる、それだけで対処した気になってる印象
—————————————————————————
http://uni.2ch.net/test/read.cgi/newsplus/1382501997/119
タイムライン
2013年4月17日~2013年7月26日
第三者による不正ログインが行われていた期間。
201年6月以降
クレジットカード会社よりカード情報流出の疑念について連絡。
2013年7月26日
「いつもの注文」の脆弱性を修正。
2013年10月23日
不正ログイン被害を受けていたことについて発表。
問い合わせ窓口を設置。
公式発表
魚拓:http://megalodon.jp/2013-1023-1431-36/company.7netshopping.jp/2013/10/pc_apology.html
クレジットカード会社の発表
セブンネットにおけるクレジットカード情報漏えいの可能性を受けて
クレジットカード各社による発表は以下の通り。
・三井住友VISAカード
https://www.smbc-card.com/mem/cardinfo/cardinfo8090394.jsp
・MUFJカード
http://www.cr.mufg.jp/corporate/info/pdf/2013/131023_01.pdf
・JALカード
http://www.jal.co.jp/jalcard/announce/131023/
・ビューカード
http://www.jreast.co.jp/card/caution/notice131023.html?src=vctopcau
・ライフカード
http://www.lifecard.co.jp/info/131023.html
・アメリカン・エキスプレス
http://www.americanexpress.com/jp/content/infononnav4.html
・イオンカード
http://www.aeon.co.jp/sp_aeoncard/information/20131023.html
・楽天カード
http://www.rakuten-bank.co.jp/info/2013/131023.html
・セブンカード/アイワイカード
http://www.7card.co.jp/information.html#notice70
・オリコカード
http://www.orico.co.jp/information/20131023.html
・ポケットカード
http://www.pocketcard.co.jp/important/detail.php?id=148
・NTTグループカード
https://mylink.ntt-card.com/mylink/info/info0081.shtml
報道情報
魚拓:http://megalodon.jp/2013-1024-1646-13/www.atmarkit.co.jp/ait/articles/1310/23/news103.html
魚拓:http://megalodon.jp/2013-1024-1641-14/www.sankeibiz.jp/business/news/131024/bsd1310240500000-n1.htm
魚拓:http://megalodon.jp/2013-1024-1642-45/itpro.nikkeibp.co.jp/article/NEWS/20131023/513203/
魚拓:http://megalodon.jp/2013-1024-1643-10/japan.cnet.com/news/business/35038897/
魚拓:http://megalodon.jp/2013-1024-1643-30/internet.watch.impress.co.jp/docs/news/20131023_620647.html
魚拓:http://megalodon.jp/2013-1024-1644-08/www.itmedia.co.jp/news/articles/1310/23/news111.html
魚拓:http://megalodon.jp/2013-1023-1427-25/www.nikkei.com/article/DGXNASFL230I2_T21C13A0000000/
魚拓:http://megalodon.jp/2013-1023-1427-52/news.mynavi.jp/news/2013/10/23/106/
魚拓:http://megalodon.jp/2013-1023-1429-03/news.mynavi.jp/news/2013/10/23/106/
魚拓:http://megalodon.jp/2013-1023-1429-32/www.sbbit.jp/article/cont1/27055
魚拓:http://megalodon.jp/2013-1023-1430-02/www.rbbtoday.com/article/2013/10/23/113109.html
魚拓:http://megalodon.jp/2013-1023-1430-31/www.security-next.com/043953
魚拓:http://megalodon.jp/2013-1023-1430-56/www.asahi.com/articles/TKY201310230150.html?ref=com_top6_2nd
魚拓:http://megalodon.jp/2013-1023-1436-36/www.yomiuri.co.jp/national/news/20131023-OYT1T00582.htm
魚拓:http://megalodon.jp/2013-1023-1607-24/nlab.itmedia.co.jp/nl/articles/1310/23/news095.html
のどり@kisekiray
なむ@Type76
なりすましによる不正アクセスのお知らせと お詫び
リニューアル時のだだ漏れの際に退会したはずなのにお詫びメールが届いた…
植木 和彦 UEKI, Kazuhiko@ueki_k
事務員零式@jimuin0
オグリ@Oguri_Togyo
おさるのママ@osarunomama
