C
月内に
カーインテリア通販サイト「ボンフォームオンラインストア」において、決済ページのJavaScriptが改ざんされる不正アクセスが発生しました
📌 一言でいうと
カーインテリア通販サイト「ボンフォームオンラインストア」において、決済ページのJavaScriptが改ざんされる不正アクセスが発生しました。2021年3月から2024年11月までの期間に、クレジットカード決済を利用した顧客3,268人のカード情報や個人情報が流出した可能性があります。一部の顧客については、メールアドレスやパスワード、電話番号も流出したことが判明しています。
ℹ️ これは他社で発生した事案の情報です。貴社が当該サービスを利用していない場合は、参考情報としてご確認ください。同様の攻撃手法に対する備えのきっかけとしてもご活用いただけます。
🏢影響範囲
日本のECサイト運営者、および当該サイトを利用した消費者
✅該当時の対応
ECサイト運営者は、決済ページの整合性監視を導入し、サードパーティ製スクリプトの読み込みを制限(CSPの導入など)することを推奨します。また、定期的な脆弱性診断の実施が必要です。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】ECサイトにおける決済ページ改ざん(JavaScriptインジェクション)事例について
お疲れさまです。ECサイトにおける個人情報流出事例に関する情報共有です。
■ 概要
通販サイトの脆弱性を突いた不正アクセスにより、決済ページのJavaScriptが改ざんされ、クレジットカード情報や個人情報を窃取する「デジタルスキミング(Magecart型攻撃)」が発生しました。影響期間が3年以上に及んでおり、検知の遅れが被害拡大を招いたと考えられます。
■ 影響範囲
- 自社でECサイトを運営している組織
- 決済ページに外部JavaScriptを導入しているサイト
■ 対応手順
1. 決済ページおよびチェックアウトフローにおける不審な外部スクリプトの読み込みがないか確認する。
2. Content Security Policy (CSP) を適切に設定し、許可されていないドメインへのデータ送信を遮断する。
3. サブリソース整合性 (SRI) を導入し、読み込むスクリプトが改ざんされていないか検証する。
4. WAFの導入および定期的な脆弱性スキャンを実施し、不正アクセスの侵入経路を遮断する。
■ 参考情報
- Security NEXT 記事
対応優先度: 中
対応期限: 次回定期点検時まで
お疲れさまです。ECサイトにおける個人情報流出事例に関する情報共有です。
■ 概要
通販サイトの脆弱性を突いた不正アクセスにより、決済ページのJavaScriptが改ざんされ、クレジットカード情報や個人情報を窃取する「デジタルスキミング(Magecart型攻撃)」が発生しました。影響期間が3年以上に及んでおり、検知の遅れが被害拡大を招いたと考えられます。
■ 影響範囲
- 自社でECサイトを運営している組織
- 決済ページに外部JavaScriptを導入しているサイト
■ 対応手順
1. 決済ページおよびチェックアウトフローにおける不審な外部スクリプトの読み込みがないか確認する。
2. Content Security Policy (CSP) を適切に設定し、許可されていないドメインへのデータ送信を遮断する。
3. サブリソース整合性 (SRI) を導入し、読み込むスクリプトが改ざんされていないか検証する。
4. WAFの導入および定期的な脆弱性スキャンを実施し、不正アクセスの侵入経路を遮断する。
■ 参考情報
- Security NEXT 記事
対応優先度: 中
対応期限: 次回定期点検時まで
Subject: [Info] Case Study: Payment Page Tampering via JavaScript Injection
Dear Team,
We are sharing information regarding a recent data breach involving a Japanese e-commerce site.
■ Overview
An attacker exploited a vulnerability to tamper with the JavaScript on the payment page, implementing a digital skimming attack (similar to Magecart). This allowed the theft of credit card details and personal information over a prolonged period (March 2021 to November 2024).
■ Scope
- Organizations operating e-commerce platforms.
- Sites utilizing third-party JavaScript on checkout pages.
■ Recommended Actions
1. Audit payment pages for unauthorized external script loads.
2. Implement a strict Content Security Policy (CSP) to prevent data exfiltration to unknown domains.
3. Use Subresource Integrity (SRI) to ensure that loaded scripts have not been modified.
4. Deploy a WAF and conduct regular vulnerability assessments to close potential entry points.
■ Reference
- Security NEXT Article
Priority: Medium
Deadline: Next scheduled security review
Dear Team,
We are sharing information regarding a recent data breach involving a Japanese e-commerce site.
■ Overview
An attacker exploited a vulnerability to tamper with the JavaScript on the payment page, implementing a digital skimming attack (similar to Magecart). This allowed the theft of credit card details and personal information over a prolonged period (March 2021 to November 2024).
■ Scope
- Organizations operating e-commerce platforms.
- Sites utilizing third-party JavaScript on checkout pages.
■ Recommended Actions
1. Audit payment pages for unauthorized external script loads.
2. Implement a strict Content Security Policy (CSP) to prevent data exfiltration to unknown domains.
3. Use Subresource Integrity (SRI) to ensure that loaded scripts have not been modified.
4. Deploy a WAF and conduct regular vulnerability assessments to close potential entry points.
■ Reference
- Security NEXT Article
Priority: Medium
Deadline: Next scheduled security review