6/4に欧州でBestEuropean Cyber​​security Blogger's Awardsが開催された様です。セキュリティ関連では良いニュースソースになる可能性がありますので、内容を簡単に紹介します。全て英語サイトなのはご了承下さい。

www.itsecurityguru.org

シノプシスが後援し、Eskenzi PRが主催する毎年恒例のEuropean Cyber​​security Blogger's Awardsが火曜日の夜ロンドンで開催されました。楽しさと活気に満ちた授賞式は、KnowBe4のセキュリティ意識擁護団体であるキヤノンヨーロッパの情報セキュリティ担当ディレクター、Quentyn Taylor氏とJavvad Malik氏が競いました。Infosecurityのブロガーおよびジャッジは、お気に入りのサイバーセキュリティ関連のブログ、vlog、TwitterおよびInstagramのアカウントに投票し、その結果はオリンピアのHand＆Flower Pubで明らかにされました。

（IT Security Guru記事より引用）

■ベストニューサイバーセキュリティポッドキャスト：Darknet Diaries

Darknet Diaries Podcast

Darknet Diaries

• Jack Rhysider
• Tech News
• USD 0
• 

podcasts.apple.com

（キタきつねコメント）Defconでのハードディスク破壊法に触発された話であったり、カザフスタン政府に批判的な記事を書いたジャーナリストへの攻撃、 ペンテスターが新入社員に対してハッキングを行う実験、ATMハッキング等、かなり意欲的な実験内容はなかなか面白いものがありました。

■ベストニューブログ: The Many Hats Club

The Many Hats Club

（キタきつねコメント）個人情報保護が対象の様です。ブログとあるのですが、宣伝が多くてよく分かりませんでした。むしろボッドキャストの方が面白そうな内容が多そうな印象です。

The Many Hats Club

• podcast@themanyhats.club
• Tech News
• USD 0
• 

podcasts.apple.com

podcasts.google.com

■ベストサイバーセキュリティベンダーブログ: MalwareBytes

Malwarebytes Labs - The Security Blog From Malwarebytes | Malwarebytes Labs

 （キタきつねコメント）直近記事だと、NITE Team4というハッキングゲーム内容の分析、ハイパーリンク設定やその悪用手法、Amazon上でのMagecart攻撃の痕跡の記事と・・・なかなか日本では出てこない様な内容が多く、私もウォッチしたいなと思いました。

■ベスト商用ツイッターアカウント：NCSC 

NCSC UK (@NCSC) | Twitter

（キタきつねコメント）欧州のセキュリティ情報を追いかけるなら良さそうです。政府系なので日本だとNISCを追いかけている感じでしょうか。

■ベストサイバーセキュリティポッドキャスト：Smashing Security

Smashing Security

（キタきつねコメント）PODキャスト系。サイバーセキュリティ、ハッキング、ネットの脅威をテーマにしてゲストと話すスタイルの様です。PODキャストを聞くのは時間もかかるし英語だからちょっと・・という私みたいな方は、Google翻訳込みで、タイトル部分だけでも流し見すると面白いかも知れません。意外と面白げなテーマを追いかけている感じがします。

■ベストサイバーセキュリティVlog：Jenny Radcliffe

Home - Human Factor Security

（キタきつねコメント）やはりPODキャスト主体。彼女はセキュリティ関係では有名です。TEDxBelfastWomenの講演映像があったのでリンクを貼っておきます。10分くらい（英語）

www.dailymotion.com

■ベストパーソナル（非営利）セキュリティブログ：Chrissy Morgan、@ 5w0rdFish 

https://chrissymorgan.co.uk/

Chrissy Morgan (@5w0rdFish) | Twitter

（キタきつねコメント）こちらも有名な女性セキュリティリサーチャー。ブラックハット等でも活躍している様です。Twitterも更新頻度高めですので、ブログ記事（更新頻度は波がある）よりは、Twitter情報を追いかけた方が良いかなと思いました。

■ユーザー向けの最も教育的なブログ：NCSC 

NCSC UK (@NCSC) | Twitter

（キタきつねコメント）上と同じなので割愛

■最も面白いブログ：Javvad Malik 

https://www.j4vv4d.com/

（キタきつねコメント）ブログとしては更新頻度低め・・どうして受賞しているかがよく分かりません。おそらく他サイトと同じく、ポットキャストが評価されているのだと思われます。

www.j4vv4d.com

■ベストテクニカルブログ：DoublePulsar by Kevin Beaumont 

DoublePulsar

（キタきつねコメント）少し技術よりの視点での記事が多いですが、ブログとしてはこちらは読みやすいですね。ポットキャストを追いかけるより、私はこちらの方を定期的に記事タイトルを閲覧すると良い気がします。

■ベストツイッター：@QuentynBlog 

Quentyn Taylor (@quentynblog) | Twitter

（キタきつねコメント）更新頻度高め。写真や記事のリツイートも多いので、情報収集という意味では参考になりそうなソースの印象です。とりま私もフォローしてみました。

■ベストInstagrammer：@Lausecurity 

𝘞𝘐𝘓𝘓𝘐𝘈𝘔 (@lausecurity) | Instagram photos, videos, highlights and stories

（キタきつねコメント）私はインスタをやらないので、情報の質はわかりませんでした。最新投稿は（表彰された）展示会関連のブースで貰えるグッツの様でした。日本のソレとは違い、バラエティに富んだ販促グッツが多くて面白いですね。

■サイバーセキュリティの伝説 - 殿堂入り：Troy Hunt The Legends of Troge 

Troy Hunt (@troyhunt) | Twitter

（キタきつねコメント）今更、、と思ったら殿堂入りでした。展示会では基調講演もあったみたいですね。どっかに映像あがってないかな・・・・。データ侵害関係では、Have I Been Pwnedも同じく抑えておきたいセキュリティ関連ソースです。因みにこのサイトは最近ロボット対策（DDoSですかね）が導入された様です。

■サイバーセキュリティ - 総合セキュリティブログのグランプリ：Graham Cluley

Graham Cluley - Computer security news, advice and opinion

（キタきつねコメント）いくつかの記事を拝見しましたが、事件（の元）を追いかける視点が、少しだけ自分と似ている気がしました。記事の更新も早いですし、表彰されるだけあって、セキュリティ関係のソースとしては追いかける価値がある気がしました。

セキュリティ関連の参考にすべきソースがまとまった記事だったので、英語でしたがご紹介しました。「英語だからちょっと・・・・」という方もいらっしゃるかも知れませんが、Google ChromeにGoogle翻訳のプラグインを付けるだけで、かなり劇的に英語記事が（概要だけ）読めるようになりますので、怖がらずに一歩足を踏み出してみては如何でしょうか？

更新履歴

• 2019年6月9日AM（予約投稿）

少し前にEC-CUBEの記事を書きましたが、現時点でクレジットカード決済が停止しているサイトを少し調べてみました。

（私感ですが）メンテナンス期間の明示なく、長期間クレジット決済を「システムメンテナンス」等の理由で止めている場合は、現時点でフォレンジック調査中の可能性が高いと思われます。6/11時点での調査データではありますし、真偽の程は各社がリリースを出す（あるいはシステム障害復帰のお知らせをすぐに出す）まで分かりませんが、下記、ECサイトが狙われ続けている事についての参考情報になればと思います。

■叙々苑プレミアムショップ

※決済中止日付不明。簡易調査ではEC-CUBE利用ユーザと推定

※（6/16外部からのご指摘を受け追記）下記サイトは、叙々苑ネットショップとは運営会社が違う様です。

■公益財団法人 日本関税協会（JTAS Store）

※決済中止5/24、5/28カード漏洩調査中である事を発表。簡易調査ではEC-CUBE利用ユーザと推定

※（6/16追記）外部からご指摘を受け確認しましたが、「システムの不具合」に若干リリース内容が変わっている様です。

■京都 一の傳　

※決済中止5/17、EC構築パッケージ不明

■ルートインホテルズ

※決済中止日付不明。トップページにはカード決済中止のお知らせは見当たらず

■ホテルグレイスリー

※決済中止日付不明。（魚拓サイトから5/22まではこのお知らせは出て無かったと推測されます）

◆キタきつねの所感

既にカード情報が漏洩している可能性があると発表している日本関税協会を除き（※6/16 微妙に発表内容が変わったので一部表現を削除）

記載したサイトは全て短期間のシステムメンテナンスによるカード決済停止である事を祈りますが、公式発表の内容は、カード情報漏洩の最終発表前に、各社が”メンテナンス”として発表している内容に近いものがあり、残念ながら悪い方のリリースが出る可能性が高いのかなと推測しております。

全てのECサイトは、カード情報非保持（PCI DSS準拠はおそらく無いのでは・・）を実現していたかと思いますが、決済代行会社の非保持ソリューション（リンク型、Javascript型）とのつなぎのカード情報を入力するページを、管理者権限を不正に奪取されて改ざんされたり、何らかの脆弱性を突かれて直接個人情報DBへ攻撃を受けた可能性がありそうです。

ECサイト構築パッケージ（例：EC-CUBE）を利用している場合、こうした漏洩事件の多発を受けて、開発元が注意喚起を出している可能性が高く、それを把握する事が非常に重要です。

多くの侵害を受けたECサイトの場合、管理者画面がそもそも外部からアクセス可能である事がインシデントのきっかけになり、その次に管理者パスワードが脆弱（総当たり攻撃に対して）である事が問題となって、侵害が発生しています。

例えばIP制限であったり、管理者パスワードを乱数にするなど、簡単な事でリスクは軽減可能なのですが、それすらもやってないECサイトが多いのが現状と言えるかも知れません。

尚、piyokangoさんの記事で挙げられていた（と思う）下記のサイトも魚拓から調べましたが、おそらくEC-CUBEだと思います。（URLの特徴が1か所一致しました）

■ビバリー

※決済中止日付不明。（魚拓サイトから3/21まではこのお知らせは出て無かったと推測されます）

止まっているECサイトの構成から考えると・・・攻撃を受けて現在調査中である可能性は十分にありそうです。

余談です。とあるECサイトですが、調べていて何か違和感を感じました。

昨年5月末に停止していて・・・

昨年12月に復旧しています。

カード情報漏洩のリリースは出て無かったと思いますので、気のせいだとは思いますが・・・

こちらもEC-CUBE利用ユーザでした。

参考：

foxsecurity.hatenablog.com

更新履歴

• 2019年6月11日PM（予約投稿）
• 2019年6月16日PM　指摘を受け一部修正

 またECサイトからカード情報が漏洩していました。残念ながら悪い予感は当たるもので、カード情報非保持（周辺）は破られ続けています。

www.security-next.com

アクセサリーやバッグを取り扱う通信販売サイト「アネモネ」が不正アクセスを受け、クレジットカード情報を含む顧客の個人情報が外部に流出した可能性があることがわかった。

同サイトを運営するサンポークリエイトによれば、不正アクセスを受けて同サイトに不正なプログラムが設置され、顧客が入力したクレジットカード情報や、データベースに格納されていた顧客情報が流出した可能性があるという。

2018年9月3日から12月27日にかけて、同サイトで決済画面で入力されたクレジットカード情報2606件が被害に遭った可能性がある。クレジットカードの名義や番号、有効期限、セキュリティコードなどが含まれる。

さらにデータベースに格納されていた顧客の氏名や住所、電話番号、生年月日、性別、メールアドレスなど、個人情報4万1355件が流出したおそれがある。

（Security Next記事より引用）

公式発表　不正プログラム混入による個人情報流出に関するお詫びとご報告

◆キタきつねの所感

ECサイトは狙われているという意識が希薄な気がします。そしてフォレンジック調査会社が現在調査中であろう漏洩事件（まだ世間に発表されてない）を含め、今後も中小ECサイトからカード情報漏洩は継続的に出てきてしまう、つまり『カード情報非保持』にしたから大丈夫と思っているECサイトが今後も漏洩事件を発表する可能性は残念ながら高いと思われます。

因みに、公式発表には攻撃を受けた脆弱性についての明確な記載はなく、

（３）原因
第三者による不正プログラムの混入の可能性があります。

（公式発表より引用）

といったECサイト情報漏洩事件によくある『第三者の不正アクセスを受け・・・』の表現に留まっています。第三者にカード情報が漏洩した場合、不正アクセスでないとすると、内部漏洩しか考えられませんので、表現としては間違い無いのですが、フォレンジック調査の最終報告（※ほぼ間違いなく漏洩に至った脆弱性を特定しているはずです）を受けての公式発表としては、個社の対応としては正しいのかも知れませんが、侵害を受けた本当の部分を隠すのが当たり前になってきている事は如何なものかと思います。

事件を受けての第一報というならば分からなくもないのですが、最終報告なのであれば、SQLインジェクションApacheStruts2のパッチ当て・・・等々、インシデントの本当に細かい部分ではなく、何の脆弱性を突かれたのか、何が悪かったのか、そうした事がきちんと発表されないと、次のECサイトに被害が拡大してしまう可能性が高くなります。

『第三者の不正アクセスを受け・・・』という事件を受けての発表内容で、マスコミやステークホルダーが突っ込みを入れない（不自然だと思わない）のだから、これで良いとされるのかも知れませんが、もの好きなインシデントアナリスト（私）だけでなく、侵害を受けたECサイトも、マスコミも、ステークホルダーも、もっとインシデントが発生した原因部分について興味を示すべきかと思います。

現在進行形で他のECサイトが侵害を受けているかも知れないという事を考えると、こうした消極的な発表と、それを良しとする日本社会の風潮がハッカー側に対して利する事となり、結果としてECサイトの被害が拡大していると、私は思います。

なので、調べました。

以下、簡易調査なので正しく無い情報が含まれている可能性もありますが、アネモネもEC-CUBEを攻められたと思われます。

去年のアネモネサイト（http://www.sanpocreate.com/anemone）の魚拓を見ると、上部に会員ログイン画面があります。ここから辿っていくと・・・

URLの構造を含む、いくつかの特徴が一致する事から（少なくても去年前半の段階では）EC-CUBEを使っていた事が分かります。

漏洩したデータから考えると、管理者権限が完全に奪取されていた事がわかります。

（２）流出の規模（最大可能性）

①クレジットカード情報の件数
2018年9月3日～2018年12月27日の間に当該サイトでクレジットカード決済をご利用されたお客様情報
2606件

②顧客データベース情報
41355件

（公式発表より引用）

被害を受けたサイトが閉鎖されている様ですので、以下は推測でしかありませんが、類似のEC-CUBEサイトの攻撃事例やSecurity Nextの記事から考えると、

管理画面が初期設定に近いURL構造に置かれていた事から、管理画面に対して総当たり（ブルートフォース）攻撃をされて、その結果、偽決済ページに飛ぶ設定に書き換えられたのかと思います。個人情報はDBから全件抽出されたファイルを同様に不正転送させてのかな？と思います。

同サイトを運営するサンポークリエイトによれば、不正アクセスを受けて同サイトに不正なプログラムが設置され、顧客が入力したクレジットカード情報や、データベースに格納されていた顧客情報が流出した可能性があるという。

（Security Next記事より引用）

この推測が正しければ、インシデントの主な原因は、EC-CUBEの管理者ログイン画面（が外部から見えた）と、管理者パスワードの脆弱性（使いまわし）、サイトの改ざん検知不備、であったと思われます。

繰り返しになりますが、EC-CUBEを使っている運営事業者は、以下の開発元が5月に出した注意喚起は熟読すべきかと思います。

www.ec-cube.net

多くのEC-CUBE利用サイトが同様な攻撃を受けている様です。以下記事も参照下さい。

foxsecurity.hatenablog.com

余談です。

調査していて、初めはワードプレスの脆弱性かな？と思ってました。以前のサイト（http://www.sanpocreate.com/anemone　※EC-CUBE利用と推測される）は閉鎖してますが、

新しいサイト（https://anemone-official.jp/）はワードプレスで構築されており、・・・下記のページに辿りつけました。詳しく書きませんが、初期設定だと比較的容易に（管理者ログイン画面への）URLが推測できます。

（※注　ページの存在を確認しただけで、この先には進んでいません）

ここを総当たり（ブルートフォース）攻撃して、成功すれば、ハッカーは管理者権限を乗っ取ることができると思うので、wp-login.php攻撃を疑いました。（※上記のEC-CUBEの管理者ログイン画面への攻撃と同じです）

とは言え、この画面が見えてしまったという事を考えると、、、アネモネ（サンポークリエイト）がたとえ新たにセキュリティを講じたサイトでカード決済が再開できたとしても、そのセキュリティ対策には一抹の不安を感じます。

参考まで、ワードプレスにおけるwp-login攻撃については、ワードプレス公式でも注意喚起と対策例が出されていますので、以下を参照されると良いかと思います。（※EC-CUBEやその他のECサイト構築フレームワークでも対策部分はほぼ同じだと思います）

wpdocs.osdn.jp

 ※8/27追記　EC-CUBE使用ver調査結果：v不明　（魚拓：2018/3/7調査）

 　http://www.sanpocreate.com/anemone/js/site.js

　EC-CUBE利用は確認されましたが、差分情報を持ってない為、Verは不明

更新履歴

• 2019年6月9日AM（予約投稿）
• 2019年8月27日PM　EC-CUBEバージョン調査結果を追記

大きなインセンティブが動く時には、攻撃側が敏感に狙うのは「金銭」に近いモノであり、そこのセキュリティが甘いと大きな被害を受ける可能性がある、この記事はそれを裏付けるかと思います。

www.nikkei.com

他人のクレジットカード情報を悪用し、スマートフォン決済サービス「ペイペイ」で約35万円相当の商品をだまし取ったとして、愛知県警は23日までに、栃木県那須塩原市材木町の無職、平山貴則容疑者（21）を詐欺の疑いで逮捕した。県警によると、ペイペイを不正に使った詐欺事件の摘発は全国で初めて。

県警サイバー犯罪対策課によると、平山容疑者は県内29店舗でパソコンや電化製品など約1千万円分の商品を転売目的で不正に買っていたとみられる。同課はカード情報の入手方法などを調べる。

（中略）

ペイペイは18年10月にスマホを使った決済サービスを始め、同年12月に総額100億円を還元するキャンペーンを実施。その際に、匿名性の高い闇サイト群「ダークウェブ」上に流出したカード情報を悪用した不正利用が相次いだことが発覚していた。

（日経新聞記事より引用）

◆キタきつねの所感

日経中部の記事です。地方記事ではありますが、やはりな・・とこの記事を読んだ瞬間に思いました。去年の12月のPayPayの100億円キャンペーン。大反響ではあったと思いますし、第2弾もその後行われた事を考えるとキャンペーンとしては大成功だったと思います。

知名度もかなり上がった事も間違いありません。しかし光と影ならば影の部分。それがカードの不正取引です。少なくても昨年12月の段階でPayPayは金融の平均水準たるセキュリティ体制が整っていたとは言えないかと思います。3Dセキュアも入ってませんでしたし、不正検知（リスクベース認証等を含む）についても、カード会社や銀行が長年の知見をためてきたレベルから考えると、準備不足だった可能性が否めません。

参考：

foxsecurity.hatenablog.com

今回の逮捕ですが、DarkWeb等で使えそうな他人のカード情報を購入し、その情報を（※DarkWebで購入されたカード情報の中には使えないものも一定数あったかと思います）使ってPayPayのカード紐づけ登録を完結し、実店舗で出し子（今回逮捕された容疑者はその1人だと思います）が換金性の高い商品を一気に購入してお金に換えたという構図なのかと思われます。

PayPayはシステム上の不備（穴）があったので、カード情報を何度も登録できた事と、本人確認が（他のサイトに比べて）甘かった事が狙われたと考えても良さそうです。

PayPayはリリース等でも言っていますが、不正に使われたカード情報はPayPayから漏洩したものではないのですが、

パソコンや電化製品など約1千万円分の商品を転売目的で不正に買っていたとみられる。

（日経記事より引用）

1人の出し子だけで、1000万円以上カード情報が不正に使えてしまった環境（※マネロン出来てしまう環境）を構築、提供した責任がPayPayにはあると思います。

初の逮捕事例の記事ですが、PayPayで不正をした（逮捕されるべき）人が1人だけであるとは思えません。日経の記事中にも、

平山容疑者は「雇われてやった」と供述しており、同課は詐欺グループが関わっている可能性があるとみている。

（日経記事より引用）

出し子である事を伺わせる部分が書かれていますので、振り込め詐欺の様な組織的な犯罪集団が関与している可能性が高いかと思います。（※根拠はありませんが、振り込め詐欺のグループが、儲かりそうだと、そのままPayPayに一時移動した気がします）

更新履歴

• 2019年6月1日AM（予約投稿）