2024/07/27

インテンスが運営するショップサイト「fofo」へ不正アクセス約1.5万人の個人情報漏洩

2024年5月20日美容器具・美容商品の販売などを行う株式会社インテンスは、運営するショップサイト「fofo」へ不正アクセスが発生し約1.5万人のクレジットカードを含む個人情報が漏洩した事を発表しました。

1 不正アクセスの原因
2 漏洩した個人情報の項目と期間
- 2.1 公表が遅れた経緯について
- 2.2 Web Shell(ウェブシェル)の脆弱性について

不正アクセスの原因

「fofo」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、Web Shell(ウェブシェル)によるサーバー内の不正操作が行われたため。

漏洩した個人情報の項目と期間

2020年12月24日～2023年12月8日の期間中に「fofo」においてクレジットカード決済をされた15,198件が対象。

・クレジットカード番号
・有効期限
・セキュリティコード
・会員氏名
・ＤＢデータ
・ログイン情報

なお攻撃者によって、サーバー上にクレジットカード情報が平文で出力され保存された可能性があるとしています。

公表が遅れた経緯について

公表が遅れた経緯については以下引用で記載しています。

2023年9月13日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

引用：弊社が運営するショップサイト「fofo」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ

Web Shell(ウェブシェル)の脆弱性について

「fofo」が何のシステムを利用しているか不明ですが、漏洩した期間は

複数のEC-CUBE 3.0系用プラグインにおけるクロスサイトスクリプティングの脆弱性に関する注意喚起に該当する期間でもあります。

配送伝票番号プラグイン(3.0系)における脆弱性発覚と対応のお願い（2021/06/11）
https://www.ec-cube.net/release/detail.php?release_id=5088

配送伝票番号csv一括登録プラグイン(3.0系)における脆弱性発覚と対応のお願い（2021/06/11）
https://www.ec-cube.net/release/detail.php?release_id=5087

配送伝票番号メールプラグイン(3.0系)における脆弱性発覚と対応のお願い（2021/06/11）
https://www.ec-cube.net/release/detail.php?release_id=5089

株式会社イーシーキューブ（CVE-2021-20742、CVE-2021-20743、CVE-2021-20744）
帳票出力プラグインバージョン1.0.1をリリースしました。（2021/06/14）
https://www.ec-cube.net/release/detail.php?release_id=5091

メルマガ管理プラグインバージョン1.0.4をリリースしました。（2021/06/14）
https://www.ec-cube.net/release/detail.php?release_id=5090

カテゴリコンテンツプラグインバージョン1.0.1をリリースしました。（2021/06/14）
https://www.ec-cube.net/release/detail.php?release_id=5092