2月14日バレンタインデーのお昼頃、1件のメールが着信しました。
「弊社サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ」
む?どこかのサイトが情報漏洩をやらかしたか?
いつもソースネクストをご愛顧いただき誠にありがとうございます。
さて、このたび、弊社サイト(www.sourcenext.com) におきまして、
第三者による不正アクセスを受け、お客様のクレジットカード情報および
個人情報が漏えいした可能性があることが判明いたしました。
ソースネクスト?
あぁ、昨年末に1Passwordの3年版ライセンスを購入したっけ。セール期間で最安だったんだよな。
Lastpassの大規模漏洩を受けて1Passwordへ乗り換えたんだ。
で? カード番号と名前ぐらいが漏洩したのかな?
漏えいした可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
セキュリティコードまで漏洩させてしまったの!? 何やってるの??犯罪者の手に渡った瞬間に不正決済し放題じやん!
なお、報告書を読み進めていくと原因が書かれているのですが、ソースネクスト側がセキュリティコードを保管していたわけではありません。何らかの脆弱性を突かれた不正アクセスに端を発したカード情報処理プログラムの改ざんのようです。
原因
https://www.sourcenext.com/support/i/2023/0214_info/?i=gtnews
弊社が運営するサイトのシステムの一部の脆弱性を利用した第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行なわれたため。
攻撃者は不正侵入した上にカード情報を処理するプログラムを改竄していたのですが、数ヶ月間も発見されなかったようですね・・・リリース時やアップデート時に脆弱性診断を行なっていななかったのかな・・・まさか・・・ねぇ・・・。診断で見つからない未知の脆弱性を突かれたのだと仮定しても、改ざんされた事実を検知することも難しかったのでしょうかね。(と言いつつ、定常運用中のプログラムの改ざん検知をやっているところは実態としては少ないだろうなぁとも思ってる)
それにしても、DB上のデータをぶっこ抜いてもセキュリティコードは通常残されていないから、決済部分のプログラムを改竄して不正送信するように埋め込んでおく方法にするとは攻撃者側も賢いね。
結論、2022年11月15日~2023年1月17日の期間中にカード情報を入力(保管したかどうかは関係ない)した人は、入力した情報が全て悪意のある第三者の手に流されていたって事になりそう。
ソースネクストのプレスリリースとしては「漏洩のおそれ」「漏洩の可能性」としか現時点では書けないだろうけれども、被害者側としては漏洩した前提で動く必要がある状況。
なおカード情報を受信した側のプログラムが改竄されているので、途中経路をいくら暗号化していても全く無意味。カード情報を処理するプログラム内ではカード情報は暗号化されていない平文だから、一時的に入力した(保管されない)セキュリティコードだって全部攻撃者側に筒抜け。
と言うわけで、この時使ったカードは使い物にならない、というか悪人の手に全てのカード情報が渡っているので一刻も早く停止しなければ危険な状態じゃないか!!
この日被害者として行った対応は?
15:02 ソースネクストからのメールを受信(仕事中だったので読むのがここから2時間遅れた)
17:00頃 メールを確認。セキュリティコードが漏洩した事実を認識。
17:13 ソースネクストのお客様相談窓口へ電話。漏洩した事実を確認。
17:22 JCBザ・クラスのコンシェルジェデスクへ連絡。そこから盗難・紛失デスクへ繋いでもらって即時でカード停止。「ソースネクストで発生した情報漏洩の件で」と話したところ、デスクにはすでに情報が行き渡っているようで、スムースに対応と案内が進みました。
停止連絡した時点でカードは無効化されたので追加被害の心配は無くなったけれども、3月請求分については不正利用の可能性が残されているので普段以上に利用明細に目を通しておく必要がありますね。
それにしても、よりによってメインカードのザ・クラスが漏洩被害に遭うとは・・・公共料金の引き落としも全てこのカードに集約しているのに・・・
今回は盗難に伴うカード番号変更を伴う再発行になるので、各サイトの支払いカード情報の変更は全て自分でやり直さなければなりません。再発行カードが届き次第でカード番号の再登録祭りですよorz
JCBから申し込み2日後(実質1営業日)に再発行カード到着
さすが、ザ・クラスはJCB最上位カードだけのことはある、非常時に強い!
紛失申請から1営業日で再発行カードが到着しました。14日の定時間際17時22分に申し込んで 16日の朝11時に到着するのって会社としてすごいスピード感。
年会費6万円弱は高いなーと思っていたけれども、今回のような非常時の対応を見るとそれだけの価値は十分にあると再認識。
3Dセキュアの認証方式を再設定しておこうね!
カード番号の再登録を行なっていると、いくつかのサイトで3Dセキュア認証時に「MyJCBのパスワードを入力してください」との表示になる。ところがMyJCBのパスワードを何度入力しても「パスワードが確認できませんでした」とのエラーで認証が通らない。
JCBのオーソリー担当者に電話を繋いでもらったのだけれども、加盟店からは正常に要求が飛んできてJCBとしては承認を返している状態だそうな。それなのに私の画面に表示されるのはエラー画面・・・
どうやら2023/02/15から認証方式に変更があって、私のカード再発行日とドンピシャで重なってしまったために発生したのかもしれない。
具体的な解決方法は以下の通り。
My JCBから「お客様情報の照会・変更」→「インターネットショッピングでの本人認証サービス(J/Secure)」→「認証方式の変更」と進んで、SMS通知による認証に変更したところ、3Dセキュアの画面がMyJCBのパスワード認証画面ではなく、SMS通知によるワンタイムパスワード認証画面に変化して問題がなくなりました。
これも誰かの役に立つかもしれないので備忘録としてメモしておきましょう。
コメント