Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

城山観光ホテル オンラインショップへの不正アクセス事件を調べてみた(更新)

鹿児島の城山観光ホテルのカード情報漏えい事件・・・一度29日にUPしたと思うのですが、誤って消したのか記事が無かったので、(思い出しながら)書き直し、併せて追加情報を補足更新します。

 

netshop.impress.co.jp

インシデントタイムライン

日時 出来事
2017年7月25日~10月4日 不正アクセスによりクレジット決済を利用した顧客のクレジットカード情報が漏えいした可能性
2017年10月4日 カード会社から決済代行会社を通じて情報流出の懸念がある旨の連絡を受ける
  カード決済の利用を停止
  (外部の専門調査機関による調査)
2017年11月29日 事件を公表

 

公式発表

事件の状況 
  • 2017年7月25日~2017年10月4日までにクレジットカード決済を利用した顧客(最大234件)のクレジットカード情報が外部に漏えいした疑い
  • カード不正はあった様だが、件数は分かってない *2
  • 流出した可能性のある個人情報
    • カード番号
    • カード有効期限
    • セキュリティコード

原因

  • 外部からのWEBアプリケーションの脆弱性を利用した攻撃により、カード会員情報が不正に外部に転送されていた

対策

  • カード情報が自社サーバーを通過しない(非通過型の)決済システムへ変更

 

◆キタきつねの所感

(改めて書き直しているので、前と違っていたらごめんなさい)セキュリティコードが漏れた事件というのは、PCI DSSの観点上では何か実装に失敗している事となります。決済後のセキュリティコードの保存は認めてないからです。例えば、この事件で考えられるのは、セキュリティログに、カード情報を吐き出している様なケースです。

最初にこの件をTwitterでつぶやいた際に、EC-CUBE脆弱性を突かれた事件ではないかというご助言を頂きました。

EC-CUBEについて、JVNDB調べてみたのですが、EC-CUBE自体の大きな脆弱性は2016年から出てきてないようです。(0ディは別ですが)2016年の脆弱性の中では、SQLインジェクション脆弱性JVNDB-2016-000027/深刻度7.5)や(JVNB-2016-000190/深刻度5.5)辺りがデータを不正に持ち出せそうなので怪しい気がします。

f:id:foxcafelate:20171130063945j:plain

とはいえ、2016年の脆弱性なのでパッチ未適応の方は(やや)少ないのではないかと推測します。また、EC-CUBEは、クレジットカード情報非保持を推奨しており、(メインページの下の方にリンクがあります)こちらを見ている利用者であれば、決済代行会社に相談をしているのではないかと思いますので、パッチも当てずに、非保持取り組みも進めてないECサイトが多いかと言われると若干疑問が残ります。

www.ec-cube.net

ですが、こうして調べている中で、EC-CUBEさんが発表している脆弱性リスト(下記)と、JVNで発表している脆弱性上記)に差分がある事が分かりました。

f:id:foxcafelate:20171130065049j:plain

よく見ると、EC-CUBEが発表している脆弱性リストは4月25日で止まってますし、ここにはSQLインジェクションらしき危険性は告知されてません。つまり何が言いたいかというと、プラグイン」の脆弱性EC-CUBEのHPには掲載されてないので、EC-CUBEユーザがパッチを当ててない可能性が結構高いのではないかと推測されるのです。この辺りにもしかすると、不正アクセスを受ける一因があるのかもしれません。

 

関係ニュース記事

  *1 JVNDB のEC-CUBE検索結果 JVN

  *2 城山観光ホテルの通販サイトに不正アクセス(鹿児島県)日テレニュース24

  *3 脆弱性リスト EC-CUBE

 

更新履歴

  • 2017年11月29日 PM 新規作成(したのですが・・・記事を誤って削除したようです)
  • 2017年12月1日 PM 改めて書き直し(日テレニュース24情報を追記)