スイーツ通販サイトに不正アクセス、ゼロデイ脆弱性の発見から被害に気づく

洋菓子など扱う通信販売サイト「西光亭ネットショップ」は、不正アクセスにより顧客情報が外部に流出した可能性があることを明らかにした。eコマースシステムで利用するサードパーティ製ソフトに存在した「ゼロデイ脆弱性」が標的にされたという。

同サイトで利用している「EC-CUBE」のサードパーティ製プラグインに存在した脆弱性を突く不正アクセスを受けたもの。サイトを改ざんされ、クレジットカード決済時の入力情報を窃取された可能性がある。

対象となるのは、3月10日から6月16日にかけて、同サイトで注文時に入力された顧客のクレジットカード情報3079件。クレジットカードの名義、番号、有効期限、セキュリティコードが含まれる。あわせてメールアドレスやパスワード、端末のIPアドレス、注文日時などの情報も被害に遭ったおそれがある。

また不正アクセスを通じて、サイト内に不正なツールを設置された。データベースから氏名や住所、電話番号、ファックス番号、生年月日、メールアドレス、ソルト追加の上ハッシュ化されているパスワードなどを読み取られた可能性もある。

ログより流出の有無や対象を特定することが難しく、サイトを停止した6月16日までに同サイトで会員登録を行ったすべての顧客について流出の可能性があるとした。具体的な件数は公表していない。

（Security NEXT - 2021/12/06 ） ツイート

PR

関連記事

サイトが閲覧不能に、個人情報流出のおそれも - 筋ジストロフィー協会
ホビー通販サイトが改ざん被害 - 個人情報流出の可能性
個人情報流出の可能性、委託先のゼロデイ攻撃被害が影響 - 法政大
郡上八幡の特産品扱う通販サイトが不正アクセス被害
すかいらーく「テクアウトサイト」 - クレカ情報流出の可能性
機器から奪われた管理者アカウントで侵害受ける - ミネベアミツミ
ゼロデイ攻撃で個人情報流出の可能性 - 日鉄ソリューションズ
「愛知全県模試」受験者情報が流出した可能性 - SQLi攻撃で
MDMサーバから従業員情報流出、削除データも - ジブラルタ生保
指標管理ウェブシステムから顧客情報流出の可能性 - 損保ジャパン