フォーム入力支援やサイト最適化サービスの改ざんについてまとめてみた - piyolog

2022年10月25日、ショーケースは同社が提供する複数のサービスが不正アクセスを受けたため、サービスを利用する企業のWebサイトを通じて入力された情報が外部へ流出した可能性があると公表しました。ここでは関連する情報をまとめます。 フォーム入力支援やサイト最適化サービス改ざんで複数社に影響波及 www.showcase-tv.com 不正アクセスによりショーケースが提供するサービスのソースコードの改ざんが行われた。対象サービスが稼働するシステムの一部で脆弱性を悪用されたことが原因。 被害に遭ったのは「フォームアシスト」「サイト・パーソナライザ」「スマートフォン・コンバータ」の3つ。フォームの入力支援やサイト表示最適化を行うサービスで利用企業は同社が公開するJavaScript (formassist.jp、navicast.jp上で公開)を自社サイトより読み込むことで利用する。 改ざん被害

[punychan]

「ショーケースに対して取引先よりフォームアシストのソースコード中に不審な記述があると指摘。」これのできる技術者がいたのがすごいな。あと、出光の対象期間が細切れなのはどういうことなんだろう。

[diabah_blue]

現代では、自ドメイン外のJavascriptを使う際、ブラウザがJSの改ざんを検知できるように、サブリソース完全性検証機能を使っておくもんだということを覚えた。 https://developer.mozilla.org/ja/docs/Web/Security/Subresource_Integrity

[raimon49]

決済に必要な情報が全部入りで流出。発覚の経緯が検知ではなく取引先からの指摘というのが。

[kuracom]

出光が細切れになってるのは、ログをもとに当サービスが実際に利用された正確な期間を割り出した結果だと思う

[prograti]

フォームアシストのJSはJSの中で別のJSをユーザごとにdocument.writeしてるみたいだからそっちが改ざんされたらintegrity属性でもダメでしょうね。一部のユーザのみということはそっちが改ざんされたんじゃないかしら。

[Falky]

概観はできるが、結局具体的に何が起きたのかはわからんしタイムラインも不明瞭。対処が適切なのか否かもよくわからない。なぜならば関係者の誰も詳細を説明していないので。ひどすぎる

[hevohevo]

外部のJS組み込んでいたら、そのJSが改ざんされたということか。これはつらい。今回は特に入力フォーム用のJSだったので、フォームに書き込んだ内容が流出したと。

[cl-gaku]

まだまだこれからでてきそうだ

[kitone]

“利用企業は同社が公開するJavaScript (formassist.jp、navicast.jp上で公開)を自社サイトより読み込むことで利用する”

[uunfo]

ユーキャンとABC-MARTが7月19日ではなく7月24日からとしてるのはなぜだろう／「クレジットカード番号入力画面において外部JSを読み込まないこと」がPCI-DSSに追加されるのかな

[nilab]

フォーム入力支援やサイト最適化サービスの改ざんについてまとめてみた - piyolog

[defiant]

この記事をおすすめしました

[text-sakura-ne-jp]

《関連情報》『ショッピングサイトのプログラム改ざん クレジット情報流出か - NHK』https://www3.nhk.or.jp/news/html/20221027/k10013871221000.html

[adsty]

サービスのソースコードが改ざんされ入力フォームの情報が流出した。

[estragon]

“ショーケースが提供するサービスのソースコードの改ざんが行われた。対象サービスが稼働するシステムの一部で脆弱性を悪用されたことが原因。被害に遭ったのは「フォームアシスト」「サイト・パーソナライザ」「ス

[diet55]

「被害に遭ったのは『フォームアシスト』『サイト・パーソナライザ』『スマートフォン・コンバータ』の3つ」「利用企業は同社が公開するJavaScript (formassist.jp、navicast.jp上で公開)を自社サイトより読み込むことで利用」

[k-holy]

なるほど、JS読み込みだけでフォームを楽に書き換えてユーザー分析したいってニーズがあるのね。ログインID/パスワードやカード番号等の機密情報の入力フォームでは外部からのJS読み込みNG、ってのが定石化しそうだ。

[otchy210]

ちゃんとした CDN でホストされてるちゃんとした JS ライブラリはそのサンプルコードに最初からちゃんとハッシュが記載されてるが、そうでないところも多いでな…。

[legnum]

自社サーバにいちいちツール入れてた時代は「ツール作成業者が出してるパッチ当て忘れで流出」だったから「パッチ当てるのもツール作成業者、サーバも業者」になったのにその業者にやらかされると防ぎようが無い

[doksensei]

まとめありがとうございます！　2022/10月情報流出まとめ。ハッキング？

[paradisemaker]

来てた。いつもながら素晴らしい。

[daij1n]

毎回思うけど、決済でPayPalみたいな外部使わず直接クレカを入力させる意味ってあるんだろか。PayPalの手数料ってそんなに高額だったかな？

[sisicom]

意外に自体がわかっていないケースも

[buhoho]

このてのサービス提供元はセキュリティ高そうって思ってたけど、実はそうでもなかったのかな

[lb501]

悪質。7月中には問題があることわかっていたのに、発表は10月。https://www.security-next.com/138832

[dltlt]

ECサイト自体じゃなく、リダイレクト先の決済プラットフォームが（ここの）JS を外部参照してたりしないのかな？｜integrity 属性を指定するとなると、参照先JSの更新のたびにハッシュを変更することになるが……

[diveintounlimit]

“ショーケースに対して取引先よりフォームアシストのソースコード中に不審な記述があると指摘”すごい/セキュリティコード抜かれてるのヤバいな、全部そろってるやん

[rx7]

外部参照しているところから。。

[Eiichiro]

まとめありがとうございます。これでだめなら、外部ソース読み込んでる箇所が全部だめってことになる？可能性としては、dnsポイズニングで埋込ソースを配布されたとか？続報に期待。

[lesamoureuses]

使う側は js読み込むだけだとすると直接 js書き換えられたのかな？どういう方法かよくわからない

[Lhankor_Mhy]

integrity 属性で回避できそうな？

[atrandom2520]

あらあらあら