「JINS ONLINE SHOP」個人情報流出の件
先週末3/14、JINSというメガネ屋さんのECサイトが不正アクセスに合っていたことが発覚し、12,036 件のクレジットカード情報が流出する事件あった模様です。セキュリティコードまで盗まれたことで注目を浴びています。
http://www.jins-jp.com/
http://www.jins-jp.com/info.pdf
http://www.jins-jp.com/info20130315-1600.pdf
当初は頻発しているSQLインジェクションを用いたデータベース流出が疑われ「そもそも何でセキュリティコードなんか記録する必要があるんだ?」という意見も飛び交いましたが、その後の調査で支払い方法入力画面のプログラムを改竄し、入力内容を第三者のサーバに送信されていたことが判明したようです。
つまり、何らかのミドルウェア層の脆弱性をつき、任意のコードを実行して決済部分のプログラムを書き換えられてしまった可能性があります。
現時点でここまで深刻な脆弱性を内包してるソリューションはJavaが真っ先に挙げられます。年明けくらいから相次いで未解決の脆弱性が指摘され、Oracle社は現在でも連日アップデートに追われている様子です。
http://jvn.jp/cert/JVNTA13-064A/
このJINSサイトがJavaソリューション(Tomcat/JRE/JDK等)を使用しているか否かについては、公開されている情報だけでは分からなかったのですが、ベンダー情報なども絡めると使用している可能性が高いと私は推測しています。
以下は私の想定シナリオです。
<潜在リスク>
1. 脆弱性のあるJavaを使用していた
2. サーバから外部へのデータ送信が可能になっていた(Firewallが未設定)
<犯行手口>
1. まず踏み台となるサーバを乗っ取り
2. 盗んだ個人情報を送るデータベースサーバを乗っ取り
3. 踏み台サーバからECサイトにjavaの脆弱性をつくハッキングを行いプログラムを改竄
4. 購入者が入力したカード情報を改竄プログラムでデータベースサーバに送信
5. データベースサーバから個人情報を奪取
6. 証拠隠滅
次に
3/15、日本国内285件のウェブサイトが「Darkleech Apache Module」マルウェアに感染の件
日本国内の285件ウェブサイトが「Darkleech Apache Module」マルウェアに感染し、もし感染されたサイトをInternet ExplorerブラウザでアクセスしたらBlackholeの感染サイトに転送されてしまいます。転送されたらパソコンにあるPDF/Java/Flash古いバーションの脆弱性を使われて、パソコンがBlackholeで提供されているマルウェアに感染されます、との恐ろしい状況が現状日本に発見いたしました。
http://unixfreaxjp.blogspot.jp/2013/03/ocjp-098-285blackhole-exploit-kit.html
こちらの「Darkleech Apache Module」とJavaの脆弱性について関連性は確かではありませんが、ファイルの改竄によってマルウェアが埋め込まれたことを鑑みると、JINSサイトと同様の脆弱性をつかれた可能性があります。
WebサイトのソリューションにJava(Tomcat/JRE/JDK等)が使用されている場合は念のためご確認ください。
対象となる製品とバージョンは以下の通りです。
- Java SE JDK および JRE 7 Update 15 およびそれ以前
- Java SE JDK および JRE 6 Update 41 およびそれ以前
コメント