EC構築サービスも狙われている

ECオーダーのユーザが不正アクセス被害を受けている様です。

nlab.itmedia.co.jp

　ゲームソフトなどの通販に利用されている通販業務サービス「ECオーダー」が、6月末から長期のメンテナンスで停止しています。また個人情報が流出した可能性があると指摘されています。

　まどそふと、エウクレイア、オーガスト、アリスソフトなど、同サービスに通販を委託している複数のゲームメーカーから7月19日、相次いで告知がありました。いずれもECオーダーが長期間に渡って停止しており、個人情報流出の疑いが出ていることを知らせています。

　流出の疑いについて、運営元のホビボックスから詳細な情報は得られておらず、通販利用者は念のためクレジットカードの使用履歴を確認するようにと呼びかけています。一部企業は他の通販サービスへの乗り換えを表明しています。

（ねとらぼ記事より引用）

◆キタきつねの所感

どこかで聞いた事があるフレーズ「長期メンテナンス」。ECサイトでメンテナンス中という表現が不自然に長期間続く場合、（クレジットカード情報が漏洩した可能性で）フォレンジック調査中という事が多いかと思います。

ECオーダーのユーザのリリース内容を見ると、突然サービス（サイト）停止になった様な記載があり、ECオーダーのサービス提供事業者であるホビボックス社から明確な「メンテナンス」理由を説明されてない様です。この事から考えると、不正アクセスを受けて個人情報が漏洩、場合によってはクレジットカード情報も漏洩したと推測されます。

調べてみると、ねとらぼ記事にあった、まどそふと、エウクレイア、オーガスト、アリスソフトを調べてみたのですが、既に当該のサイトは閉鎖されていて、どういった脆弱点を攻められたのかは良く分かりませんでした。

通販URLは全て、ECオーダーの告知画面に転送されます。

f:id:foxcafelate:20190726223302p:plain

6月下旬にサイト閉鎖をして、フォレンジック調査をしているとすると、8月中旬に復帰予定というのはかなり早い方だと思われます。仮にカード情報が漏洩していた場合、カード決済復帰のためにはPCI DSS監査が必要（※結構時間かかります）だと思いますので、、8月中旬再開の現在の見立てが正しいのであれば、カード情報は現時点では漏洩してない情報を得ているのかも知れません。

ねとらぼ記事ではあまり深く書かれていませんが、ECオーダーは18禁ソフト系の通販サイトによく使われていた様です。（※以下閲覧注意ください）

EC-CUBEの様に自社サイトに導入するパッケージというものでなく、メインサイトの下に店子が入る様なイメージでサービス提供をしていた様です。

魚拓サイトで調べてみると、URLの構造は【www.ec-order.com】（大家）の下が【madosoft/shop】（店子）という非常に分かりやすい構造になっています。

f:id:foxcafelate:20190727065840p:plain

f:id:foxcafelate:20190727070437p:plain

まどそふとは、魚拓サイトで登録画面の確認が取れたのでどんな情報があったのかを調べてみると、

f:id:foxcafelate:20190727070212p:plain

f:id:foxcafelate:20190727070323p:plain

メールアドレス、名前、性別、生年月日、住所（場合により勤務先・・）、電話番号・・・すべて必須です。このECオーダーのメンテナンスが個人情報（カード情報）漏洩事件と最終的に発表された場合、仮に漏洩件数が少なかったとしても、個人の趣味趣向に関する（機微な）情報漏洩事件という事になってしまうのではないでしょうか？

登録をされていたユーザの方々は、かなりショックを受けているのではないかと思います。

他も魚拓サイトで確認していきます。エウクレイアのサイトも、やはり店子構造のURL表示でした。

f:id:foxcafelate:20190727070836p:plain