セキュリティ猫の備忘録

セキュリティに関する事柄を備忘録として記していく

象印の個人情報流出とフィッシングメールについて:雑なまとめ

臨時で象印からの情報流出、フィッシングメールの情報についてまとめてみました。


【目次】

象印から情報流出、フィッシングメールによる被害も

【12/5】
象印マホービン株式会社から子会社が運営する「象印でショッピング」の顧客の個人情報が流出したことを公表しました。

【重要】個人情報流出についてのお知らせ(象印でショッピング)

公表内容

  • 象印ユーサービス株式会社が運営するサイト「象印でショッピング」が、不正アクセスにより個人情報が流出
  • 流出した個人情報は最大で約28万人
  • 流出した内容は、

  ・顧客名
  ・住所
  ・注文内容(商品、金額等)
  ・配送先情報
  ・メールアドレス
  等で、クレジットカード情報は含まれていない

流出したメールアドレス宛にフィッシングメールを送信

また、流出したメールアドレス宛に不審なメールが送信されたことも公表されました。

  • 流出したメールアドレスに不審なメールが送信
  • メール内に記載された偽装サイトへアクセスをさせる
  • 偽装サイトでクレジットカード情報を入力させ、カード情報を盗取

フィッシングメール情報

SNS上で、象印を語る不審なメールについての情報が飛び交っていました。

タイトルにある氏名に敬称なし、日本固有の言い回しから始まる挨拶なし、内容をよく読むと利用者に求めているアクションに違和感ありなど、メールの内容を熟読すると詐欺の可能性に気付けるようですが、

  • タイトルに受信者の氏名が書かれている
  • 実際のキャンペーンの当選を語っているため購入者は心当たりがある
  • 記載されているURLのドメインは実際のもの

の点から、フィッシングメールは巧妙なものであり詐欺だと見抜くのは難しいように感じます。

f:id:nekochanSecurity555:20191205231437p:plain
zojirushi-de-shopping[.]comの検索結果

決済情報入力画面が改ざん

公表内容の冒頭では、「メール内に記載の偽装サイトへアクセス」と書かれており、メールに記載するURLは簡単に偽装できのでメール記載のURLと実際にアクセスするURLが全く別であることはよくあります。そのため、別サーバー上にフィッシングサイトを建てられていたような印象を受けました。
しかし、今回は記載されているURLにアクセスし、クレジットカード情報を入力すると情報が盗まれているため、象印マホービンのサイトが不正アクセスされ改ざんされているようです。
また、正規のサイトが改ざんされているため、メールのリンクからのアクセスだけではなく、正規のサイト経由の購入者*1(?)もクレジットカード情報の盗取の被害者になるように思われます。

このことは、公表内容の詳細箇所に、「「象印でショッピング」システムの一部の脆弱性をついたことによる第三者不正アクセスにより、個人情報の抜き出し、商品情報及び決済情報入力画面の改ざんが行われておりました。」との記載がありました。
Webサイトを改ざんし、クレジットカード情報を詐取する手法を「e-スキミング」と呼ぶようです。

現在は、リンク先はメンテ中で閉鎖しているようです。

時系列

  • 12/04 お客様から不審なメールが届いているとの情報提供を受ける
  • 内部調査から第三者不正アクセス、個人情報の流出を把握
  • グループ会社が運営する「象印でショッピング」を停止
  • 現在サービスは停止中

原因

  • 象印でショッピング」システムの一部の脆弱性を利用した第三者不正アクセス
  • 個人情報の抜き出し
  • 商品情報及び決済情報入力画面の改ざん

フィッシングメール

メール件名  :「〇〇(流出した顧客名) おめでとうございます!オリジナルQUOカード キャンペーン実施中!」
送信元アドレス:shopmaster[@]zojirushi[.]co.jp

盗まれたクレジットカード情報

  • カード名義人名
  • クレジットカード番号
  • 有効期限
  • セキュリティコード

Tweet情報】


【参考】
象印、情報流出最大28万人 不正アクセス受け、一部悪用も(時事通信) - Yahoo!ニュース
象印個人情報流出 不審メールも|NHK 首都圏のニュース
象印に不正アクセス 28万人分の個人情報流出 不審メールに注意 | NHKニュース
象印のECサイトに不正アクセス、最大28万件の顧客情報が流出 決済画面が改ざん - ITmedia NEWS

【更新情報】
2019/12/06 公開

*1:リンク先のページがどのような役割を持つページか不明なため