どうしてソースネクストからクレジットカード情報が漏洩したの?【ページ改竄】

わかりやすさ重視セキュリティニュースから考える
スポンサーリンク

ソースネクストの利用者のクレジットカード情報が流出したことがニュースになっていました。

顧客データベースが盗まれたわけではなく、購入画面が改竄されていたために、入力された個人情報が外部に送信されてしまったようです。

この記事では、わかりやすさを重視して説明しています(やや厳密さには欠ける表現もあります)。イメージが掴めたら、より専門的な解説へと進んでください。

スポンサーリンク

クレジットカードのセキュリティコードまで盗まれた

クレジットカード情報はもっとも機密性の高い情報で、本来は厳重に暗号化されているはずです。
ところが、クレジットカード番号やセキュリティコードまで、盗まれてしまったのです。

2022年11月15日~2023年1月17日の期間中に当サイトにおいてクレジットカード情報を登録されたお客様112,132名で、漏えいした可能性のある情報は以下のとおりです。

・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ|ソースネクスト

これだけで不正利用の被害が起こってしまいます。
実際、今回の事件はクレジットカード会社からの連絡で発覚しています。

2023年1月4日、一部のクレジットカード会社から、当サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、2023年1月5日、当サイトでのカード決済を停止いたしました。

当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ|ソースネクスト

購入画面がすり替えられていた

ソースネクストの顧客情報が全部 盗まれてしまったの?

今回の場合 データベースから漏洩したのではないようです。
実は、購入画面の入力ページがすり替えられていたことがわかっています。

弊社が運営するサイトのシステムの一部の脆弱性を利用した第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行なわれたため。

当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ|ソースネクスト

偽サイトと違ってサイトのURLは正しいので、外見上は本物のクレジットカード入力画面と区別がつきません。

しかし、ここで入力した内容が、外部にも送信されてしまったのです。

カート画面で入力された情報が、決済代行会社だけでなく、悪意のある攻撃者のサイトにも送信される状態となっていた。

【セキュリティ ニュース】ソースネクストで個人情報流出 – カード決済止めるも不正プログラム削除が後手に

利用者側で気づくのは難しいね。

つまり、改竄されていた期間中(2022年11月15日~2023年1月17日)に、購入ページでクレジットカードの入力処理してしまった利用者(約11万人)が被害を受けてしまったことになります。

逆にいうと、購入手続きをしていても、すでに登録済みのクレジットカード情報を利用している場合は、クレジットカードの方はあっていません。

ただし、連絡先情報は漏洩している可能性があります。

2022年11月15日~2023年1月17日の期間中に当サイトにおいて購入されたお客様120,982名で、漏えいした可能性のある情報は以下のとおりです。

・氏名
・メールアドレス(パスワードの漏えいはありません)
・郵便番号、住所、電話番号(任意入力項目)

当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ|ソースネクスト

どのサイトでも起こりうる(三京商会の事例)

同様の事件は、ほかの通販サイトでも起こっています。

かばんなどの通販サイトで、およそ9千人分の顧客のクレジットカード情報が流出した可能性があると、サイトを運営する大阪の会社が発表しました。(…)

運営する通販サイトで3年前(2020年)の7月からおととし12月にかけて、クレジットカード決済で買い物をした8794人のカード番号やセキュリティーコードなどが流出した可能性があると、ホームページで発表しました。

サイトのぜい弱性をついた不正アクセスによって決済に使用するアプリが改ざんされ、情報が流出したとしています。

通販サイトで顧客のクレジットカード情報流出 一部不正利用か|NHK 関西のニュース(2023-02-20)

とにかく改竄されたページで個人情報を入力してしまうと、盗まれてしまうのね。

QRコードを読み込むと、関連記事を確認できます。
どうしてソースネクストからクレジットカード情報が漏洩したの?【ページ改竄】
タイトルとURLをコピーしました