臨時で象印からの情報流出、フィッシングメールの情報についてまとめてみました。
【目次】
象印から情報流出、フィッシングメールによる被害も
【12/5】
象印マホービン株式会社から子会社が運営する「象印でショッピング」の顧客の個人情報が流出したことを公表しました。
【重要】個人情報流出についてのお知らせ(象印でショッピング)
公表内容
・顧客名
・住所
・注文内容(商品、金額等)
・配送先情報
・メールアドレス
等で、クレジットカード情報は含まれていない
流出したメールアドレス宛にフィッシングメールを送信
また、流出したメールアドレス宛に不審なメールが送信されたことも公表されました。
- 流出したメールアドレスに不審なメールが送信
- メール内に記載された偽装サイトへアクセスをさせる
- 偽装サイトでクレジットカード情報を入力させ、カード情報を盗取
フィッシングメール情報
SNS上で、象印を語る不審なメールについての情報が飛び交っていました。
象印からこんなメール来たんだけど、少し前に炊飯器の内蓋買ったんだよね。
— mayumi (@funnybunny_39) December 4, 2019
でも象印ほどの大手企業でプレゼントで送料100円をクレジットカード支払いで払わせるって怪しくない?
詐欺かな?
もし詐欺なら象印で買い物してることが流出してるってことだよね?
象印さん、どうなんですか?
怖い怖い。 pic.twitter.com/xFl9Y50N4q
象印をかたる詐欺メール、
— nini (@nini443nini) December 4, 2019
タイトルに敬称なし。
毎度、から始まる文面。
(いつもお世話になっております、とか、ご利用頂きありがとうございます、だよね)
違和感アリありで、気付いた方もいただろう。 pic.twitter.com/CmC0GW7a9Q
気をつけよう!
— niƐbosky (@nieboissky) December 4, 2019
最近ポットのフタを買ったので、本当に当選したかと思った!#zojirushi #象印 pic.twitter.com/QgG6050itR
タイトルにある氏名に敬称なし、日本固有の言い回しから始まる挨拶なし、内容をよく読むと利用者に求めているアクションに違和感ありなど、メールの内容を熟読すると詐欺の可能性に気付けるようですが、
- タイトルに受信者の氏名が書かれている
- 実際のキャンペーンの当選を語っているため購入者は心当たりがある
- 記載されているURLのドメインは実際のもの
の点から、フィッシングメールは巧妙なものであり詐欺だと見抜くのは難しいように感じます。
決済情報入力画面が改ざん
公表内容の冒頭では、「メール内に記載の偽装サイトへアクセス」と書かれており、メールに記載するURLは簡単に偽装できのでメール記載のURLと実際にアクセスするURLが全く別であることはよくあります。そのため、別サーバー上にフィッシングサイトを建てられていたような印象を受けました。
しかし、今回は記載されているURLにアクセスし、クレジットカード情報を入力すると情報が盗まれているため、象印マホービンのサイトが不正アクセスされ改ざんされているようです。
また、正規のサイトが改ざんされているため、メールのリンクからのアクセスだけではなく、正規のサイト経由の購入者*1(?)もクレジットカード情報の盗取の被害者になるように思われます。
#象印 サイト改竄されてるかも。
— kanon (@lovedeli_reco) December 4, 2019
登録してる名前書かれたフィッシング詐欺メール来ててメールから飛ばすに正規サイト行ったら不自然なパスワード記入欄ができてる
このことは、公表内容の詳細箇所に、「「象印でショッピング」システムの一部の脆弱性をついたことによる第三者の不正アクセスにより、個人情報の抜き出し、商品情報及び決済情報入力画面の改ざんが行われておりました。」との記載がありました。
Webサイトを改ざんし、クレジットカード情報を詐取する手法を「e-スキミング」と呼ぶようです。
現在は、リンク先はメンテ中で閉鎖しているようです。
時系列
フィッシングメール
メール件名 :「〇〇(流出した顧客名) おめでとうございます!オリジナルQUOカード キャンペーン実施中!」
送信元アドレス:shopmaster[@]zojirushi[.]co.jp
盗まれたクレジットカード情報
- カード名義人名
- クレジットカード番号
- 有効期限
- セキュリティコード
【Tweet情報】
1) 保存された個人情報の抜き出し
— tike (@tiketiketikeke) December 5, 2019
2) 商品情報、決済情報入力画面が改ざん(スキミングスクリプトの挿入)
3) 1)で取られたメールアドレス宛のフィッシングメールのバラマキ
4) フィッシングメールのリンク先に誘導されたユーザからのクレジットカード情報の詐取
が行われたと見て取れます。
漏洩したメールアドレス向けに攻撃者がフィッシングメールをばらまいたために、逆に早期に発見された面もあると思います#ITnewshttps://t.co/dSXCbYYKWA
— 徳丸 浩 (@ockeghem) December 5, 2019
なんか、複合してるけど…
— かお㌠ (@ka0com) December 5, 2019
1.サイトそのものから不正アクセスで抜き出された個人情報がある。
2.おそらくその情報を使ってフィッシングメールのばら撒き
3.フィッシングメールの遷移先として、正規サイトの改ざんと、そのサイトに入力させたクレジットカード情報の詐取
…というところかな?
ハイライトは、公式ショッピングサイトのメールアドレスから、公式サイトの利用者のメールアドレス宛に、名前入りで、公式サイトに誘導する公式キャンペーンに乗じたフィッシングメールがばらまかれた特殊性と、それを不審に思い通報した神お客、直ちに閉鎖した公式さんの神対応でしょうか...
— Naomi Suzuki (@NaomiSuzuki_) December 5, 2019
【参考】
象印、情報流出最大28万人 不正アクセス受け、一部悪用も(時事通信) - Yahoo!ニュース
象印個人情報流出 不審メールも|NHK 首都圏のニュース
象印に不正アクセス 28万人分の個人情報流出 不審メールに注意 | NHKニュース
象印のECサイトに不正アクセス、最大28万件の顧客情報が流出 決済画面が改ざん - ITmedia NEWS
【更新情報】
2019/12/06 公開
*1:リンク先のページがどのような役割を持つページか不明なため