サラリーマン節税ができると話題のふるさと納税ですが・・・
同市では、4月にクレジットカード会社の指摘により同市が運営する「志布志市ふるさと納税特設サイト」において情報が流出した可能性が発覚。脆弱性を突かれて不正なプログラムを埋め込まれ、入力されたクレジットカード情報のほか、メールアドレスやログインパスワード、電話番号など910件を第三者に窃取された可能性があることが判明した。
同市は事態を公表するとともに、サイト内に保存されていたほかの利用者情報に対する影響についても調査を進めていたが、先に公表した情報にくわえて、データベース内に保存されていた個人情報についても、2021年12月29日に閲覧、ダウンロードされていたことがわかった。外部から利用者情報のデータベースを操作できる不正なファイルをサイト内に設置されていたという。
ふるさと納税特設サイト、クレカ以外の個人情報も被害 – 志布志市
志布志市はかつでふるさと納税関連のPR動画が炎上したこともそういえばありましたね。。。
COVER365のTwitterアカウントをフォローしていただければ、
随時記事の更新ツイートや、お得な情報が受け取れます。ぜひフォローしてください!
志布志市のプレスリリースも確認してみる
3.個人情報漏えい状況
(1)原因
当サイトのシステムの一部(EC-Cube)の脆弱性を悪用したクロスサイトスクリプティングの手法による第三者の不正アクセスにより、サーバー内に、クレジットカード決済実行時において処理されるクレジットカード情報を窃取するためのプログラムを埋め込まれたと考えられます。
(2)クレジットカード会員情報漏えいの可能性がある寄附者様及び項目
クレジットカード情報に関する調査結果によりますと、2021年3月12日から2021年12月29日までの間に当サイトを通じてクレジットカード決済を行った寄附者様(910件)が対象となります。
漏えいした可能性のある情報は以下のとおりです。
・クレジットカード番号
・有効期限
・セキュリティコード
・Webサイトのログイン情報(eメールアドレス、パスワード)
・電話番号(ご注文時にログインも会員登録もされていない寄附者様)
上記に該当する寄附者様には、判明次第、別途、個別にメール又は書面にてご連絡申し上げます。
本市が運営する「志布志市ふるさと納税特設サイト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ
なるほどがっつり個人情報が引き抜かれていますね。クレジットカード情報が流出したときにどうすればいいのか、ChatGPTさんと考えてみたいと思います。
クレジットカード情報が流出した場合はどうすべきか
自分のクレジットカード情報が流出したときにはどうすればいいですか。
クレジットカードの情報が流出した場合は、すぐに以下の手順を踏むことをお勧めします。迅速な対応が重要です。
カードの利用を停止する:直ちにクレジットカードの利用を停止し、不正利用を防ぐためにカード会社に連絡してカードを無効化してもらいましょう。一般的に、カードの裏面にカスタマーサポートの電話番号が記載されています。
不正利用を報告する:カード会社に流出した可能性があることを報告し、不正利用の取引をすぐに申告します。カード会社はこれらの取引を調査し、権限のない利用に対する責任を負います。
カード会社の指示に従う:カード会社が特定の手順を指示してきた場合は、その指示に従ってください。可能な場合は、書面で不正利用の申告を行い、必要な文書を提供することもあります。
関連アカウントの確認:同じパスワードや情報を使っている他のオンラインアカウントがないか確認し、必要に応じてパスワードを変更します。
クレジットレポートを監視する:クレジットレポートを定期的にチェックして、不正なアクティビティがないかを確認してください。
新しいカードを要求する:カード会社に新しいカードを要求することで、既存のカード情報が不正利用される可能性を排除します。
警察または適切な機関に通報する:必要に応じて、地元の警察や金融監督機関にも通報しておくと良いでしょう。
流出の原因を調査する:クレジットカード情報が流出した原因を特定し、同様の事態を未然に防ぐために対策を講じることも重要です。
最も重要なのは、クレジットカードの不正利用を素早く報告して、カード会社と連携して対応することです。早期の対応が被害を最小限に抑えるのに役立ちます。
なるほど!まぁ基礎的ではありますが、利用停止は重要ですよね。一気に900件利用停止が来たらびっくりしちゃいますけどね。
あと、ちょっと気になった今回の原因であるEC-CUbeの脆弱性について調べてみました。
EC-CUBEにおける最新の脆弱性
EC-CUBE4系において、クロスサイトスクリプティングの脆弱性が報告されました。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 脆弱性の概要 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ EC-CUBE4系におけるクロスサイトスクリプティングによる脆弱性 危険度: 低 不具合が存在するEC-CUBEのバージョン: - 4.0.0〜4.0.6-p2 - 4.1.0〜4.1.2-p1 - 4.2.0 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 修正方法について ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 今回の脆弱性は、修正ファイルの適用により解決することができます。 以下いずれかの方法で、修正ファイルの適用をお願い致します。 修正方法1: 修正用の差分ファイルを利用する 修正方法2: 修正箇所のソースコード差分を確認し必要に応じて適用する 修正方法の詳細は、下記のページをご確認ください。 https://www.ec-cube.net/info/weakness/20230214/EC-CUBE4系におけるクロスサイトスクリプティングの脆弱性(JVN#04785663)
結構大きな内容なので、修正ファイルの適用をされていない方は直ちにすることをおすすめします。
プラムザが提供するCOVER365について解説
COVER365の特徴
1.AWSに特化した「監視・保守&セキュリティ」の専門部隊(SOCチーム)を完全オーダーメイドで提供します。
システム受託開発25年で培った経験、知見、ノウハウを活用し、お客様のシステムに合わせてオリジナルチームを構成します。
2.単純なAWSサーバーの保守・ネットワーク監視だけではなく、24時間365日、有人でのセキュリティ監視及びサイバー攻撃などのトラブル発生時の即時対応まで行えるのがCOVER365です。
お客様のシステムをDDoS攻撃、踏み台、不正アクセスによるサイト改竄・情報漏洩などからお守りします。
3.必要十分なお客様専用のSOCチームを構成し、かつ対応プラットフォームをAWSに特化することで過剰なリソースを抑え、コストパフォーマンスに優れた監視・保守&セキュリティサービスを提供します。
AWSの監視設定やセキュリティ対策に困っていませんか?
サイバー攻撃、セキュリティ対策にまつわるお悩みはCOVER365のフルオーダーメイドサービスで解決可能です!
詳しい内容や弊社へのお問い合わせは「こちらのリンク」からお願いいたします
AWSのセキュリティ監視運用代行サービス・COVER365の運営責任者であり、本メディアの運営責任者です。元高校球児で趣味は筋トレと料理。常に筋肉痛。漠然とする不安を解消するにはお気軽なご相談からぜひどうぞ。
関連記事:
手芸用品通販サイトに不正アクセス – 個人情報流出の可能性
カドヤ公式ショップが不正アクセス被害、2万8,658名の個人情報など流出か
エン転職、25万人の履歴書漏洩か 不正アクセスで
秋葉原の老舗パーツショップ ECサイトへ不正アクセス メールアドレス流出
「シード」に不正アクセス、顧客など最大7万件の個人情報流出か
日本コンクリート工業にランサムウェア攻撃、データやソフトウェアが暗号化被害
アバントグループ子会社に不正アクセス、「開示 Net」「総務 Net」をはじめとするサービスの提供を停止
杉並区委託先企業がランサム感染、学童クラブなど個人情報流出懸念
業務委託先のサーバに不正アクセス、日本製紙クレシア「ポイズ 選べる試供品プレゼントキャンペーン」中止
議会ソリューションサービスに不正アクセスの疑い、横浜市会、千葉県議会など複数箇所で