ショップサイト「fofo」にて情報漏洩の可能性、該当する場合は明細などの確認を

こんにちは。高橋です。

美容商社のインテンス社が運営するECサイトにて、情報漏洩が発生したということで報道がありました。

出典：インテンス社

今回の情報漏洩事故で漏洩したと想定される情報は以下となります。

・クレジットカード番号
・有効期限
・セキュリティコード
・会員氏名
・DBデータ
・ログイン情報

なお、今回の情報漏洩では、これらの情報が平文で漏洩した可能性があるとのことです。

もし、この情報漏洩事故の条件に該当する場合は、ホームページに記載があるような、クレジットカードの明細を確認するなど、対応しておいた方が良いかもしれません。

また、今回の原因としましては、ECサイトの脆弱性を突いて不正アクセスが行われ、サーバにバックドアのスクリプト（WebShell）が設置され、サーバ内を不正操作されたこととのことです。

暗号化処理の前にテキストでファイルを出力するとか、何かしらの操作がされたと想定されます。

今後の対策としては、不正アクセスが行われる前には脆弱性のスキャン行為が行われることが多いので、その段階で不審な挙動を検知したり、脆弱性管理を今以上に推進したり、IPS等の機器を導入するなどの対応も実施を検討していく必要があるかと思います。