決済画面書き換えカード情報窃取(熊本ワイン) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.09.20(金)

決済画面書き換えカード情報窃取(熊本ワイン)

熊本ワイン株式会社は6月17日、同社が運営する「熊本ワインショッピングサイト」にて、第三者からの不正アクセスを受け購入者の一部のクレジットカード情報が流出した可能性が判明したと発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 4 枚 拡大写真
熊本ワイン株式会社は6月17日、同社が運営する「熊本ワインショッピングサイト」にて、第三者からの不正アクセスを受け購入者の一部のクレジットカード情報が流出した可能性が判明したと発表した。

これは2019年1月22日に、同サイトのアプリケーションの機能を悪用した不正アクセスにより、決済情報入力画面が書き換えられ、クレジット決済情報入力時に購入者が入力したカード情報を窃取されたことが判明したというもの。その後、同社では1月23日に不正プログラムが実行されないよう悪用されたアプリケーションの機能を停止するとともに、1月30日にカード決済機能を停止。また被害状況の把握と二次被害防止対策のため社内調査を継続するとともに、1月23日に熊本県警察本部サイバー犯罪対策課に調査を依頼、2月14日に外部のセキュリティ専門機関によるフォレンジック調査を開始した。

3月30日に受領した外部のセキュリティ専門機関によるフォレンジック調査結果により判明した被害の詳細は、同サイトで2018年12月5日から2019年1月30日に決済が行われた以下の情報。

1.クレジットカード情報(番号、有効期限、セキュリティコード、住所、氏名):最大444件
※重複するカード情報、誤ったカード情報を含む

2.カード情報以外の情報(住所、氏名、電話番号、メールアドレス、購入履歴、発送先情報、会員ID、パスワード):最大7,542件
※対象期間中に本サービスに会員登録された件数、調査では上記項目の不正な転送は確認されなかったがデータベースへの侵入が可能な状態であった。

同社では既に、カード会社に流出したカード取引のモニタリングを依頼、顧客にもカード利用明細に覚えのない請求項目が無いか確認するよう呼びかけている。

同社では今後、全サービスのセキュリティ強化を行うとともに、調査結果を踏まえ外部の専門家アドバイザーを含めた管理体制と対策を講じ、再発防止と信頼回復に努めるとのこと。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. リコー製プリンタや複合機に任意コード実行などの脆弱性(JVN)

    リコー製プリンタや複合機に任意コード実行などの脆弱性(JVN)

  2. CrowdStrike Blog:FANCY BEAR( APT28 )とは何者か?

    CrowdStrike Blog:FANCY BEAR( APT28 )とは何者か?

  3. 学術論文「人間よりも賢く機能するボット:Google の画像ベースの reCAPTCHA v2 を無効化するオンラインシステム」サマリー(The Register)

    学術論文「人間よりも賢く機能するボット:Google の画像ベースの reCAPTCHA v2 を無効化するオンラインシステム」サマリー(The Register)

  4. 「OpenSSL」アップデート、情報漏えいなどの脆弱性に対応(JVN)

    「OpenSSL」アップデート、情報漏えいなどの脆弱性に対応(JVN)

  5. 個人情報記載書類を委託事業者が紛失、今後は書類ではなく暗号化したデータでの報告に切り替え(大阪市)

    個人情報記載書類を委託事業者が紛失、今後は書類ではなく暗号化したデータでの報告に切り替え(大阪市)

  6. 架空請求の封筒の実物写真のマスキング処理が不適切、特定のソフトで容易に外せる状態に(神奈川県)

    架空請求の封筒の実物写真のマスキング処理が不適切、特定のソフトで容易に外せる状態に(神奈川県)

  7. LINEの「apng-drawable」に任意コード実行などの脆弱性(JVN)

    LINEの「apng-drawable」に任意コード実行などの脆弱性(JVN)

  8. 高額なコンサル不要 !? ~ ISOG-J 公開三つの無料ドキュメント活用方法

    高額なコンサル不要 !? ~ ISOG-J 公開三つの無料ドキュメント活用方法

  9. 「ベビータウン」「プレママタウン」にパスワードリスト型攻撃、ポイント交換も判明(ユニ・チャーム)

    「ベビータウン」「プレママタウン」にパスワードリスト型攻撃、ポイント交換も判明(ユニ・チャーム)

  10. 誤って提携業者にオーナー情報が保存されたExcelファイルを提供(ミサワホーム)

    誤って提携業者にオーナー情報が保存されたExcelファイルを提供(ミサワホーム)

ランキングをもっと見る