カシオはイギリスのグループ会社、Casio Electronicsの通販サイトへの不正アクセスとクレジットカード情報を含む個人情報流出の指摘について、声明を発表しました。
カシオの声明
昨日より一部報道機関において、当社のグループ会社「Casio Electronics」(英国)の通販サイトが侵害されて、クレジットカード情報を含む個人情報を流出した可能性があると報道がなされました。
本件に関し、同社は通販サイトが改ざんされた事実を把握後、即時に復旧するとともに安全性を確認しました。なお、被害の有無などの詳細は現在も情報セキュリティ専門会社の協力を得ながら調査中でございます。
現時点では、クレジットカード情報を含む個人情報の流出は確認されておりません。
イギリス グループ会社の通販サイトへの不正アクセスについて
セキュリティ企業JSCramblerは2025年1月28日に1月14日から24日の間に、カシオの英国向けオンラインストア「casio.co.uk」がハッキングされ、顧客のクレジットカード情報および個人情報が盗まれる事件を発見し、カシオに通知しました。
原因となった悪意のあるスクリプトは24時間以内にサイトから削除されたとのことです。
今回のサイバー攻撃は、OSSのECプラットフォームMagento(マジェント)の脆弱性を悪用するもので、カシオUKのオンラインストアを含む17のウェブサイトが標的になっていました。
サイバー攻撃の手口
攻撃者は、以下の手法でクレジットカード情報を窃取しました。
- 第1段階のスキマー:
- サイトに埋め込まれた初期のスキマーがロシアのホスティングプロバイダー(ru-jsciot)から第2段階のスキマーを取得。
- 第2段階のスキマー:
- 検出を回避するため、XORベースの文字列隠蔽やカスタムエンコードを使用。
- 被害者が仮想カートに商品を追加すると、正規のチェックアウトページに誘導せず、偽のチェックアウトフォームを表示。
- データ窃取:
- 偽のフォームはカシオUKのデザインと一致しておらず、ユーザーが情報を入力し「今すぐ購入」ボタンを押すと、請求先住所、メールアドレス、電話番号、クレジットカード情報などを収集。
- その後、被害者には偽のエラーが表示され、正規のチェックアウトページへリダイレクト。
- データ送信:
- 盗まれた情報はAES-256-CBCで暗号化され、ロシアのIPアドレスの攻撃者サーバーへ送信。
カシオのセキュリティ対策の不備
JSCramblerによると、カシオUKはコンテンツセキュリティポリシー(CSP)を導入していたものの、「report-only」モードで設定されており、違反を防ぐのではなく、ブラウザのコンソールに記録するだけの状態でした。そのため、今回の攻撃が防げなかった可能性があります。
過去のセキュリティインシデント
カシオは2024年10月にランサムウェア攻撃や不正アクセスにより、システムが使用不能になる被害が発生し、
ランサムウェア攻撃グループ Underground(アンダーグラウンド)(別名:Underground(アンダーグラウンドチーム)」が犯行声明を発表しました
なお、同社はこのランサムウェアと不正アクセス被害で売上高約130億円と営業利益の約40億円の減少と決算予測を発表しました。
