スイーツ通販サイトに不正アクセス、ゼロデイ脆弱性の発見から被害に気づく

洋菓子など扱う通信販売サイト「西光亭ネットショップ」は、不正アクセスにより顧客情報が外部に流出した可能性があることを明らかにした。eコマースシステムで利用するサードパーティ製ソフトに存在した「ゼロデイ脆弱性」が標的にされたという。

同サイトで利用している「EC-CUBE」のサードパーティ製プラグインに存在した脆弱性を突く不正アクセスを受けたもの。サイトを改ざんされ、クレジットカード決済時の入力情報を窃取された可能性がある。

対象となるのは、3月10日から6月16日にかけて、同サイトで注文時に入力された顧客のクレジットカード情報3079件。クレジットカードの名義、番号、有効期限、セキュリティコードが含まれる。あわせてメールアドレスやパスワード、端末のIPアドレス、注文日時などの情報も被害に遭ったおそれがある。

また不正アクセスを通じて、サイト内に不正なツールを設置された。データベースから氏名や住所、電話番号、ファックス番号、生年月日、メールアドレス、ソルト追加の上ハッシュ化されているパスワードなどを読み取られた可能性もある。

ログより流出の有無や対象を特定することが難しく、サイトを停止した6月16日までに同サイトで会員登録を行ったすべての顧客について流出の可能性があるとした。具体的な件数は公表していない。

（Security NEXT - 2021/12/06 ）ツイート