2024年10月3日、タリーズコーヒーのオンラインストアにおけるクレジットカード情報の大量漏洩が発覚しましたが、セキュリティ専門家やリサーチャーたちは、この漏洩の原因となった不正なJavaScriptコードに焦点を当てています。
特にTwitterユーザー「@motikan2010」氏は、今回の不正アクセス事件に関連するJavaScriptの難読化されたコードを解除し、その詳細な分析を報告しています。
タリーズオンラインストアのWebアーカイブ(2024.02.29)にナンカある。 pic.twitter.com/uGQwl9g669
— motikan2010 (@motikan2010) October 3, 2024
カバー写真:https://www.tullys.co.jp/
Twitterユーザー「@motikan2010」の分析
「@motikan2010」氏は、タリーズオンラインストアの2024年2月29日時点のWebアーカイブに「怪しいJavaScriptコードが含まれている」と発言し、セキュリティ企業Sucuriもこのスクリプトを「悪意のあるJS」と判断していることを示唆しています。
不正なJavaScriptの内容
難読化されたJavaScriptは、以下のような特徴を持っていました。
1. 難読化されたコード
このJavaScriptは意図的に難読化されており、通常のプログラムとは異なり、人間が即座に理解できないように設計されています。難読化は、悪意のあるコードがセキュリティ専門家やスクリプトを監視するシステムによって簡単に検出されないようにするための手法です。
2. 不正なデータ収集
コード内では、document.getElementByIdやdocument.getElementsByClassNameといったDOM操作を利用して、クレジットカード情報や個人情報をフォームから収集する動作が含まれていました。これにより、ユーザーが入力したクレジットカード番号、カード名義人名、有効期限、セキュリティコードなどが不正に取得され、外部サーバに送信される可能性がありました。
3. 外部スクリプトの参照
「@motikan2010」氏が指摘した通り、JavaScriptは外部の不正なスクリプトファイル(例: https://www.sikki.org/…/jquery.js)を参照しており、これによりさらなる不正なコードが実行される構造になっていました。この外部スクリプトは、さらに攻撃を強化し、被害範囲を拡大させる役割を果たす可能性があります。
不正アクセスによる被害の拡大
この不正なJavaScriptが存在した結果、2021年7月20日から2024年5月20日までにタリーズ オンラインストアで使用されたクレジットカード情報52,958件が流出した可能性があります。攻撃者は難読化されたスクリプトを用いて、ユーザーが気づかない間にクレジットカード情報を収集し、外部に送信していたと考えられます。
【重要】弊社が運営する「タリーズ オンラインストア」への不正アクセスによる個人情報漏洩の恐れに関するお詫びと調査結果のご報告
再発防止策
この事件を受け、企業はJavaScriptファイルのセキュリティチェックや監視体制の強化が不可欠となります。特に、外部から読み込まれるスクリプトや、自社システムに埋め込まれるサードパーティのコードの監査は、今後一層重要になります。
ユーザーは不正アクセスをどのように注意すればよいのか
このような不正アクセスのリスクに備えるためには、いくつかの重要な対策を日常的に行うことが大切です。
まず、オンラインショッピングや金融取引を行う際は、信頼できる公式ウェブサイトやアプリのみを使用し、URLの確認やSSL証明書(https://で始まること)に注意を払うことが基本です。特に不審なポップアップやリダイレクトが発生した場合は、すぐに操作を中断し、信頼性を再確認することが求められます。
また、ブラウザのセキュリティ設定を定期的に見直し、スクリプトや外部リソースの読み込みを制限する機能を活用することも効果的です。特に、サードパーティ製のスクリプトや広告のブロック機能を有効にすることで、不正なJavaScriptが実行されるリスクを軽減できます。常にブラウザやセキュリティソフトを最新の状態に保つことも、不正アクセスを防ぐ基本的な対策です。
このように、オンライン環境における個人のセキュリティ対策を強化することで、不正アクセスや情報漏洩のリスクを大幅に軽減できるでしょう。
タリーズコーヒーという全国展開した大企業だったこともあり、今後、システムの脆弱性を徹底的に見直し、再発防止に努める必要がありそうです。