タリーズもやられていた！
そのサイバー攻撃手法と影響を考察します！

2024.10.08 岡山大

継続するサイバー攻撃と情報漏洩の脅威

6月にKADOKAWAを襲ったランサムウェア攻撃。8月末にサービス復旧に向けて動きましたが、その後もランサムウェアによる被害報告が続いています。しかし、もう一つ、継続している大きなサイバー攻撃が情報漏洩です。特にクレジットカード情報漏洩に起因する不正利用は、昨年540億円を超え、前年比でも24%増加し、国を挙げてその抑制に取り組んでいます。

参考ブログ：ニコニコ動画が襲われた！サイバー攻撃の恐怖と対策

タリーズコーヒーも情報漏洩被害に

頻繁に報告されるカード情報漏洩被害ですが、とうとう、読者の皆さんの日常生活でよく利用するあの企業も被害に遭いました。

記事：タリーズコーヒー　個人情報漏えいで謝罪　クレジッドカード情報含む9万2000件超「深くお詫び」

この公表された情報から、最も推察される攻撃手法は、WEB（オンライン）スキミングと言われる手法です。この攻撃は、個人情報やカード情報が入力される画面に不正なスクリプトを仕込み、そのスクリプトによって攻撃者に入力された情報が送られてしまうものです。

WEBスキミングの特徴

WEBスキミングには以下の特徴があります。

攻撃に気づきにくい
スクリプトが不正に埋め込まれても、企業側が発見するまでに時間がかかることが多いです。
漏洩期間が長期化しやすい
攻撃が見つからないまま、長期間にわたって情報が流出するケースがよくあります。

今回の事案でも警視庁からの連絡でようやく気づき、漏洩期間は約3年7カ月と非常に長期にわたりました。このことからも、WEBスキミングの特徴と合致します。

調査に要した時間と今後の対策

この漏洩事案に関する影響として、一つ問題提起したいポイントは、調査に要した時間です。警視庁からの連絡から調査結果の公表まで4カ月余りが経過しています。フォレンジック調査により、徹底的に調査し、原因や被害範囲、期間を特定し、正確な情報を提供するには一定の期間を要し、その間公表できないことは理解できます。ただ、攻撃者にとっては猶予を与えてしまった可能性があります。

参考ブログ：フォレンジック調査とは？実施すべきケースや調査の種類、実施時の注意点などを解説

弊社では、このようなWEBスキミングのリスクや、ID・パスワードなどのクレデンシャル情報の漏洩チェックサービスなども展開しています。ご興味のおありの方は、是非こちらまでお問い合わせください。
セキュリティソリューションTOPページはこちら

この記事の執筆・監修者

岡山大

三和コムテック株式会社
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として１０年間勤務の後、2001年三和コムテックに入社。
新規事業（WEBセキュリティビジネス）のきっかけとなる、自動脆弱性診断サービスを立ち上げ（2004年）から一環して、営業・企画面にて参画。 2009年に他の３社と中心になり、たち上げたJCDSC（日本カードセキュリティ協議会 / 会員企業422社）にて運営委員（現在,運営委員長）として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌（月刊消費者信用）にてコラム「セキュリティ考現学」を寄稿中。

→ 岡山大の他の記事を読む