いつまで続くんだろうね・・・
ITmediaの記事に、 決済システム改ざんでクレカ情報・IPアドレス漏えいか 健康食品サイトが謝罪てのがありました。
健康食品販売事業者はつらつ堂は11月1日、不正アクセスにより同社ECサイトが改ざんされ、利用者のクレジットカード情報とIPアドレスが漏えいした可能性があるとして謝罪したそうです。
記事によると・・・
第三者がECサイトの脆弱性を突いて、決済システムを改ざんしたのが原因。漏えいした可能性があるのは4636人分のカード名義人名、カード番号、有効期限、セキュリティコード、メールアドレス、IPアドレス。
6月30日に、同社ECサイト「はつらつ堂ショッピングサイト」でカード情報漏えいが発生した可能性があるとの連絡を、クレジットカード会社から連絡を受けカード決済機能を停止。第三者機関による調査の結果、2021年12月2日から22年6月14日にかけて、同サイト利用者のカード情報が漏えいし、不正利用された可能性があると分かった。
だそうです。この手のECサイトの脆弱性を狙った攻撃によるクレカ情報の漏洩については、本ブログでも度々お伝えしてきました。
上記のエントリーでも触れていますが、今回の「はつらつ堂」さんで利用されていたECのシステムも上記で取り上げていた「EC-CUBE」というシステムです。
ECサイトを作成するシステムは「EC-CUBE」以外にも多くありますが、「EC-CUBE」がオープンソースであることからも低コストで導入ができるため、非常に多くのサイトで利用されています。
ECサイトに限らず、世の中に完璧なシステム等存在しないわけですから脆弱性が見つかるのは至極当然のことです。ただ、その脆弱性をいつまでも放置していることが問題です。
「EC-CUBE」も脆弱性が存在していることをアナウンスしていますし、そのためのパッチも提供しています。ただ、そのパッチを適用せずに放置しているサイトがいかに多いかがこれまでの被害を見ていてもわかります。
ECサイトを運営している企業様などは、自社のサイトがどういったシステムで運用されていて、そのセキュリティ対策がどのように行われているのかということは最低限認識しておくべきでしょう。
制作を請け負った業者様も作りっぱなしではなく、サポートで儲けるくらいの気概で制作をしていただきたいものです。
もう、これ以上の被害が出ないことを願っています。