第三者による「再支払いのお願い」メールが送信→決済ページに誘導

　FM東京によると、利用するECサイトプラットフォームの注文管理画面に第三者による不正アクセスがあったのは1月11日。情報を利用して第三者によるメールが送信された可能性がある。「再支払いのお願い」としたメールで、「与信エラーにより決済が正常に完了していない」とし、再決済ページに誘導する内容だ。

　メールに従い、クレジットカード情報を入力してしまった場合、第三者に流出してしまった可能性があるとして、身に覚えのない請求がないか、顧客に確認を促している。なお、同社は顧客のクレジットカード情報を一切保持しておらず、同社からの情報流出はないとしている。

　また、BASEは、購入者を装った不審な問い合わせメールに注意を呼びかけると同時に、これまでに確認した内容を公表した。

ログイン情報を攻撃者が不正取得、クレカ情報を搾取する事案も

　それによると、「ショップのCONTACTフォームを利用して、購入者を装った問い合わせメッセージが送られてくる」事案のほか、「問い合わせ内容に記載のURLにアクセスすると、BASE管理画面のログインフォームに類似した画面が表示される」「メールアドレスとパスワードを入力しログインしようとすると、攻撃者にログイン情報が不正取得されてしまう」などだ。

　問い合わせに記載のURLにアクセスし、ログイン情報を入力してしまった場合は、メールアドレス、パスワードが攻撃者に不正取得されてしまっている可能性がある。また、ログイン情報を不正取得されてしまったショップでは、攻撃者が不正に管理画面へログインし、購入者に対してショップになりすましたメールを送信し、購入者のクレジットカード情報をだまし取る事案も確認されているとした。

　BASEは現在、すべてのショップを対象に、普段と異なる環境で管理画面へのログインを検知した場合に、ショップのメールアドレス宛にワンタイムパスワードを送信し、本人確認をする機能を準備しているという。