Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

スイーツ通販サイトに不正アクセス、ゼロデイ脆弱性の発見から被害に気づく

洋菓子など扱う通信販売サイト「西光亭ネットショップ」は、不正アクセスにより顧客情報が外部に流出した可能性があることを明らかにした。eコマースシステムで利用するサードパーティ製ソフトに存在した「ゼロデイ脆弱性」が標的にされたという。

同サイトで利用している「EC-CUBE」のサードパーティ製プラグインに存在した脆弱性を突く不正アクセスを受けたもの。サイトを改ざんされ、クレジットカード決済時の入力情報を窃取された可能性がある。

対象となるのは、3月10日から6月16日にかけて、同サイトで注文時に入力された顧客のクレジットカード情報3079件。クレジットカードの名義、番号、有効期限、セキュリティコードが含まれる。あわせてメールアドレスやパスワード、端末のIPアドレス、注文日時などの情報も被害に遭ったおそれがある。

また不正アクセスを通じて、サイト内に不正なツールを設置された。データベースから氏名や住所、電話番号、ファックス番号、生年月日、メールアドレス、ソルト追加の上ハッシュ化されているパスワードなどを読み取られた可能性もある。

ログより流出の有無や対象を特定することが難しく、サイトを停止した6月16日までに同サイトで会員登録を行ったすべての顧客について流出の可能性があるとした。具体的な件数は公表していない。

(Security NEXT - 2021/12/06 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

教員アカウントが不正アクセス被害 - 埼玉大
事業者向けDIY通販サイトに不正アクセス - サービス開始から約2週間で被害
メタップスP、改善措置の報告書を提出 - 役員人事など発表
アニメ制作会社ショップに不正アクセス - 顧客情報が流出
決済会社にサイバー攻撃、影響受けた可能性 - フランス文化センター
スニーカー通販サイト、顧客情報流出の可能性 - リニューアル前の被害が判明
看護関係者向けサイトへのPWリスト攻撃、調査結果が明らかに - 試行回数は6882万件
経産省、メタップスPに行政処分 - 診断で脆弱性見つかるも報告書改ざん
ひな人形の通販サイト、クレカ含む個人情報が流出した可能性
不正アクセスで顧客の個人情報が流出の可能性 - スマホ買取店