大手ECで使用の入力フォームプログラム改ざん、3800件以上のクレカ情報など流出

東京港区のIT企業、ショーケースは25日、同社が提供する電子商取引（EC）サイト向け入力フォームのプログラムが外部から改ざんされ、少なくとも3800件以上のクレジットカード番号やセキュリティーコードが流出した可能性があることが分かった。同社の入力フォームはエービーシー・マートなど複数の企業に導入されているとのこと（ショーケースリリース[PDF]、NHK、共同通信）。

pongchang 曰く、　「エービーシー・マート」のサイトで、ことし7月24日から26日までに入力フォームを使った利用者のおよそ2300件のクレジットカードの番号やセキュリティコードなどが流失したおそれがあるとされていた。

入力フォームを提供していたショーケースの報道発表(2022年10月25日)によると、「2022年7月26日顧客から、「フォームアシスト」のソースコードに不審な記述がある旨の指摘を受け、直ちに、当社において運営するサービスのソースコードを調査いたしました。調査の結果、冒頭に記載しましたとおり、対象サービスにおいてシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ソースコードの書き換えがなされ、一部のお取引先様のウェブサイト等において入力された情報が外部へ流出した可能性があることが判明いたしました。」としている。

ABCマートも「既に弊社ではショーケース社のサービスの切り離しを行っております。また、第三者調査機関によるフォレンジック調査を実施し、当該サービス以外の理由による個人情報の漏えいが無いことおよび本サイトのプログラム改ざん、サイト実行環境への不正アクセスが存在しないことを確認いたしました。上記を踏まえ、本サイトでのクレジットカード決済機能は、本日2022年10月25日再開予定となりますが正式な日程につきましては、あらためまして本サイトにてご案内いたします。 」としている。

NHKの報道では、「ユーキャン・富士フイルムイメージングシステムズ・出光クレジット」もこのショーケース社のフォームアシストの影響を受けたとしている。

　スラドのコメントを読む | ITセクション | 犯罪 | クラウド | セキュリティ | 情報漏洩

　関連ストーリー：
郵便番号API企業の「使いやすい入力欄」の作り方が人気に 2022年03月07日
欧州司法裁判所、EU・米国間のデータ共有協定取り下げを決定。米国企業に影響か 2020年07月20日
入力フォームでメールアドレスを確認するための再入力は無意味 2018年03月28日
Webブラウザの自動入力機能を悪用して意図しない個人情報を送信させるデモ 2017年01月12日