Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ECサイトは攻撃を受け続けているのではないか?

少し前にEC-CUBE記事を書きましたが、現時点でクレジットカード決済が停止しているサイトを少し調べてみました。

(私感ですが)メンテナンス期間の明示なく、長期間クレジット決済を「システムメンテナンス」等の理由で止めている場合は、現時点でフォレンジック調査中の可能性が高いと思われます。6/11時点での調査データではありますし、真偽の程は各社がリリースを出す(あるいはシステム障害復帰のお知らせをすぐに出す)まで分かりませんが、下記、ECサイトが狙われ続けている事についての参考情報になればと思います。

 

 

叙々苑プレミアムショップ

※決済中止日付不明。簡易調査ではEC-CUBE利用ユーザと推定

※(6/16外部からのご指摘を受け追記)下記サイトは、叙々苑ネットショップとは運営会社が違う様です。

f:id:foxcafelate:20190611203250p:plain

 

公益財団法人 日本関税協会JTAS Store

※決済中止5/24、5/28カード漏洩調査中である事を発表。簡易調査ではEC-CUBE利用ユーザと推定

f:id:foxcafelate:20190611203930p:plain

 

※(6/16追記)外部からご指摘を受け確認しましたが、「システムの不具合」に若干リリース内容が変わっている様です。

f:id:foxcafelate:20190616231753p:plain


 

 

 

京都 一の傳 

※決済中止5/17、EC構築パッケージ不明

f:id:foxcafelate:20190611204531p:plain

 

ルートインホテルズ

※決済中止日付不明。トップページにはカード決済中止のお知らせは見当たらず

f:id:foxcafelate:20190611203615p:plain

 

ホテルグレイスリー

※決済中止日付不明。(魚拓サイトから5/22まではこのお知らせは出て無かったと推測されます)

f:id:foxcafelate:20190611211318p:plain

 

 

◆キタきつねの所感

既にカード情報が漏洩している可能性があると発表している日本関税協会を除き(※6/16 微妙に発表内容が変わったので一部表現を削除)

記載したサイトは全て短期間のシステムメンテナンスによるカード決済停止である事を祈りますが、公式発表の内容は、カード情報漏洩の最終発表前に、各社が”メンテナンス”として発表している内容に近いものがあり、残念ながら悪い方のリリースが出る可能性が高いのかなと推測しております。

 

全てのECサイトは、カード情報非保持(PCI DSS準拠はおそらく無いのでは・・)を実現していたかと思いますが、決済代行会社の非保持ソリューション(リンク型、Javascript型)とのつなぎのカード情報を入力するページを、管理者権限を不正に奪取されて改ざんされたり、何らかの脆弱性を突かれて直接個人情報DBへ攻撃を受けた可能性がありそうです。

 

ECサイト構築パッケージ(例:EC-CUBE)を利用している場合、こうした漏洩事件の多発を受けて、開発元が注意喚起を出している可能性が高く、それを把握する事が非常に重要です。

多くの侵害を受けたECサイトの場合、管理者画面がそもそも外部からアクセス可能である事がインシデントのきっかけになり、その次に管理者パスワードが脆弱(総当たり攻撃に対して)である事が問題となって、侵害が発生しています。

例えばIP制限であったり、管理者パスワードを乱数にするなど、簡単な事でリスクは軽減可能なのですが、それすらもやってないECサイトが多いのが現状と言えるかも知れません。

 

尚、piyokangoさんの記事で挙げられていた(と思う)下記のサイトも魚拓から調べましたが、おそらくEC-CUBEだと思います。(URLの特徴が1か所一致しました)

 

ビバリー

※決済中止日付不明。(魚拓サイトから3/21まではこのお知らせは出て無かったと推測されます)

f:id:foxcafelate:20190612063743p:plain

 

止まっているECサイトの構成から考えると・・・攻撃を受けて現在調査中である可能性は十分にありそうです。

f:id:foxcafelate:20190612064121p:plain



 

 

余談です。とあるECサイトですが、調べていて何か違和感を感じました。

 

昨年5月末に停止していて・・・

f:id:foxcafelate:20190611213255p:plain

 

昨年12月に復旧しています。

f:id:foxcafelate:20190611213311p:plain

 

カード情報漏洩のリリースは出て無かったと思いますので、気のせいだとは思いますが・・・

 

こちらもEC-CUBE利用ユーザでした。

 

 

参考:

foxsecurity.hatenablog.com

 

 

 

f:id:foxcafelate:20190611212004p:plain

 

更新履歴

  • 2019年6月11日PM(予約投稿)
  • 2019年6月16日PM 指摘を受け一部修正