Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

スイーツ通販サイトに不正アクセス、ゼロデイ脆弱性の発見から被害に気づく

洋菓子など扱う通信販売サイト「西光亭ネットショップ」は、不正アクセスにより顧客情報が外部に流出した可能性があることを明らかにした。eコマースシステムで利用するサードパーティ製ソフトに存在した「ゼロデイ脆弱性」が標的にされたという。

同サイトで利用している「EC-CUBE」のサードパーティ製プラグインに存在した脆弱性を突く不正アクセスを受けたもの。サイトを改ざんされ、クレジットカード決済時の入力情報を窃取された可能性がある。

対象となるのは、3月10日から6月16日にかけて、同サイトで注文時に入力された顧客のクレジットカード情報3079件。クレジットカードの名義、番号、有効期限、セキュリティコードが含まれる。あわせてメールアドレスやパスワード、端末のIPアドレス、注文日時などの情報も被害に遭ったおそれがある。

また不正アクセスを通じて、サイト内に不正なツールを設置された。データベースから氏名や住所、電話番号、ファックス番号、生年月日、メールアドレス、ソルト追加の上ハッシュ化されているパスワードなどを読み取られた可能性もある。

ログより流出の有無や対象を特定することが難しく、サイトを停止した6月16日までに同サイトで会員登録を行ったすべての顧客について流出の可能性があるとした。具体的な件数は公表していない。

(Security NEXT - 2021/12/06 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

ECサイト向けクレカ決済サービスに不正アクセス - メタップスP
ペット用品通販サイトに不正アクセス - 閉鎖直後に被害が判明
オーガニック食品の通販サイトに不正アクセス - クレカ情報が流出
サーバにSQLi攻撃、会員メアドが流出か - イシバシ楽器
不正アクセスでクレカ情報流出の可能性 - 警察実務書扱う出版社
衣料通販サイトに不正アクセス、クレカ情報流出の可能性 - ネクスG子会社
出版目録のサイトに不正アクセス、メアドが流出 - 全社協
美容グッズ通販サイトで顧客情報流出のおそれ - 店舗利用者にも影響
寿司のテイクアウト予約サイト、クレカ情報流出の可能性 - ECシステムに不正アクセス
ジュエリー通販サイトからクレカ情報流出 - 不正利用された可能性