象印マホービンは、同社のグループ会社が運営するショッピングサイト「象印でショッピング」がサイバー攻撃を受け、顧客情報最大28万52件が流出した可能性があると発表しました。流出した情報のうちメールアドレスが使われ、いわゆるフィッシングサイトへの誘導も行われています。
ショッピングサイト システムの脆弱性
28万件というのは、同サイトの利用者全員のことのようですね。最初に目にしたときはリスト型アカウントハッキングかと思いましたが、全部抜かれているとなると違いますね。システムの持つ脆弱性を突いたまさにハッキング。顧客情報を抜かれたうえ、サイトもフィッシングサイトに改ざんされてしまったようです。
顧客情報にはクレジットカード情報は含まれていなかったようで、そのため攻撃者はカード情報を手に入れるため、手に入れたメールアドレス宛に、フィッシングサイトのURLを添付した不正メールを発信。URLをクリックした顧客はフィッシングサイトに誘導されます。
そこでカード情報とパスワードを入力させ、これを盗み見しようとしたわけです。っていうか、入力した情報は盗み取られてるでしょう。実際に使われた誘導の文句は「おめでとうございます。オリジナルQUOカードキャンペーン実施中」。ログインすることで手に入るという流れでしょうか。
狙われたサイト
象印ユーサービス株式会社が運営するこの「象印でショッピング」。今は閉鎖中で確認できないんですが、どうやら同社商品の部品や消耗品を販売するサイトだったようですね。高額の買い物する顧客もなく、そのため、サイトの安全性に対する配慮が不足した、、、といった面はあったのかもしれません。
しかし、攻撃者は顧客の情報が手に入ればいいわけですから、サイトの安全対策は怠れません。フィッシングサイトがこれほど簡単に、かつ本物らしく作られちゃうわけですから、顧客のメールアドレスだけだとしても管理はしっかりしてくれないと。これ、すべてのサイトへの教訓ですね。