クレジットカード悪用のためにショッピングサイトでカード情報の有効性確認が行われる事例が報告されており、この手口についてまとめます。
被害を受けたWebサイト
- 「有効性確認」の手口がとられたと発表した組織は2019年4月までに2件です。(piyokangoが確認した限り)
No | 発表日 | 被害組織 | 被害状況(対象期間) | 原因 |
---|---|---|---|---|
1 | 2018年12月7日 2018年12月14日(補足) | エディットモード (editmode.jp) | カード情報2,169件流出 (2,169件で決済成立) 期間:2018年3月7日~2018年7月11日 | 外部からアクセス可能な状況となっていたため |
2 | 2019年4月23日 | エーデルワイン (shop.edelwein.co.jp) | 最大31,231会員情報流出 (1,140件で決済成立) 期間:2015年7月8日~2018年8月5日 | システムの一部の脆弱性を攻撃されたため |
流出したカード情報は以下4項目
- カード名義人名
- カード番号
- カード有効期限
- セキュリティコード
有効性確認の説明
- 自社外の情報を用いて自社サイトで利用可能かを確認されたと説明。
- 自社サイトの決済が成立するかで有効性を確認していたとみられる。
エディットモード | 弊社サイト外で流出したであろうカード情報を、弊社サイトを使用して利用可能か確認することです。本件では大量に入力した痕跡を確認いたしました。 |
---|---|
エーデルワイン | カードの有効性確認とは、機械的に作成したカード情報を弊社サイトで使い、利用できるかを確認するものです。 |
エディットモードへの不正アクセス
補足発表で明らかにされた手口は以下の通り。
- 何者かが
editmode.jp
へ不正アクセス - 決済時に(一時利用のみであったはずの)カード情報をWebサーバー上に保管するようにシステム改変
- 保管されたクレジットカード情報を何者かが複数回ダウンロード
- 2,3の間で有効性確認の決済を行っていたとみられる。
- ダウンロードされたカード総件数は14,679件。
- この内、2,169件(14.8%)で実際に決済が成立していた。
- エーデルワインが同様の手口だったのかは不明。
更新履歴
- 2019年4月24日 AM 新規作成