Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ECサイトの管理画面はパスワードだけで守れない

任天堂キャラクターの公式販売サイトも非保持でのカード情報保護を失敗したようです。

tech.nikkeibp.co.jp

エディットモードは2018年12月7日、同社が運営する通販サイト「エディットモードショッピングサイト」が不正アクセスを受け、クレジットカード情報が漏洩したと発表した。同サイトはマリオやスプラトゥーンといった任天堂のゲームキャラクターのグッズを販売している。

 調査すると、何者かが外部からWebサイトのシステムにアクセスした痕跡を見つけた。原因の一つは、セキュリティー向上を目的に2018年1月にシステムを刷新した際、管理画面に対するセキュリティー対策が不足していたからだ。管理画面はIDとパスワードだけでログインできるようにしており、「社内からだけでなく社外からもアクセスできた」(エディットモードの担当者)という。

 攻撃者は不正アクセス後にシステムを改ざんし、利用者が画面から入力したカード情報をシステム内に残すように設定した。このため、カード番号や有効期限、名前に加えて、セキュリティーコードまで漏洩した可能性があるという。

 漏洩した恐れがあるカード情報は2018年3月7日から7月11日までに同サイトで商品を購入したときに使われたもの。最大で1万4679件としているが、実際に商品の購入に使われたカードは2169件のみである。

 1万件以上の差がある理由について、調査会社は「攻撃者が手元のカード情報が有効かどうかを同サイトの決済システムを使って確かめていた可能性があり、その差分ではないか」とみる。エディットモードの担当者は「利用者のカード情報を保存しないシステムなので、1万4679件のうちどれが利用者の情報か判定できなかった」と話す。

日経BP記事より引用)

 

■公式発表 不正アクセスによる個人情報流出に関しまして

 

◆キタきつねの所感

カード情報非保持(の周辺)がまた破られたようです。今回は任天堂キャラクターの公式販売を行う通販サイト「エディットモード」がクレジットカード情報を最大2,169件漏えいした疑いがあると発表しました。

まず、漏洩したカード情報の中に、加盟店が本来持つべきではない「セキュリティコード」が含まれています。しかし、後半の利用者のカード情報を保存しないシステム」を使っていたとあるので、決済代行会社等のカード情報非保持のサービスを使っていた事が伺えます。

非保持の事業者が、カード情報を漏えいしている事件は増加傾向です。攻撃者がその脆弱点を攻めてきていると言っても過言では無いかもしれません。ですので、同じ手法で他のECサイトも攻撃を受ける可能性を考慮し、少し考えてみます。

 

決済代行会社の非保持サービス・・・と考えて少し疑問が出てきました。今回の情報漏えいの直接の原因は、『管理画面に対するセキュリティ対策不足』と書かれています。この管理画面はどこが提供しているのか?と考えた際に二つの可能性が出てきます。1つが決済代行会社(サービスプロバイダー9、もう1つが自社(委託会社)の別なシステムです。

決済代行会社については・・・可能性はかなり低いかと思います。決済代行会社の管理画面を不正にいじった場合に、利用者が画面から入力したカード情報をシステム内に残す』ように設定できてしまうというのは、明らかに決済代行会社の管理画面の設定に問題があります。ましてや、決済代行会社はPCI DSS準拠が必要な事業者である事から、セキュリティコードを残せる設定があるとすると、そのサービスに対するPCI DSSは非準拠となってしまう可能性が高いと思われるからです。

 

公式発表も改めてみてみると、

f:id:foxcafelate:20181208140503j:plain

『アップデートを依頼した管理会社の不手際により、外部から簡単にアクセスができる仕様になっていた』という部分が目を引きます。

また、4の対策には『今回の情報漏えいの直接的な原因となった管理会社との契約を解消』した事がかかれており、決済代行会社・・ではなく、ECサイト側にある管理画面(それを管理していた管理会社)が攻撃を受けたと考える方がしっくりときます。

 

事件が発覚した7/11以前のサイトの魚拓(7/9)を見てみたのですが・・JavaScriptが多用されていました。それはそれで問題となる脆弱点がありそうでしたが、このページソースを見て、何となく今回の原因が分かりました

f:id:foxcafelate:20181208143606j:plain

 

今回の不正に侵入されたのは・・・どうやらEC-CUBEだったようです。

 

f:id:foxcafelate:20181208143911j:plain

 

EC-CUBEのログイン画面は、こんな感じですが、この管理者画面へのログインページが外部から隠されてなかったが故に、『外部から容易にアクセスが出来る仕様』になっていたのだと思います。

EC-CUBEの標準的な実装だと、https://editmode.jp/admin/ と入れたら下記のページが出てきてしまう設定になっていたのではないでしょうか。)

f:id:foxcafelate:20181208144059j:plain

このページへのアクセスに対して、更にBASIC認証を被せる事も考えられますが、私は今回の当該管理会社がIPアクセス制限を設定しなかった事が事件になった最大の原因だと思います。

 

余談ではありますが、上記推測が正しければ、、、エデットモード社も責任が無いとは言えないかと思います。EC-CUBEのログインを突破されたのだとすれば、その原因は容易に推測できるIDとパスワード(例:Admin/Admin)もしくはパスワードの他サイトとの使いまわしの可能性が高いかと思いますので。

現在の代替サイトは、『カラーミーショップ』を利用していると公式発表に記載がありますが、こちらの標準的なログインも、IDとパスワードとなりますので・・・自社担当の意識が代わってないと、同じような不正アクセスを許してしまう可能性も残していると言えるかも知れません。

f:id:foxcafelate:20181208145448j:plain

 

ゲームに熱中している男の子のイラスト

更新履歴

  • 2018年12月8日PM(予約投稿)