Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

プロイディアもEC-CUBE

姿勢・美容・健康グッズ等を通信販売しているプロイディア直営ショップからカード情報が漏洩したと発表されました。やはりEC-CUBE利用サイトの様です。

www2.uccard.co.jp

 

公式発表 不正アクセス発生のご報告とお詫び

 

 1.経緯について
2019 年 4 月 26 日(金)の 15:00 ごろ、クレジットカードの決済代行会社より「クレジットカード情報が流出している可能性がある」との連絡を受け、同日中にクレジットカード決済の利用を停止いたしました。また、同日中にオンラインショップも閉鎖いたしました。

2.漏えいの原因について
調査会社の報告によりますと、ショッピングカートシステムの脆弱性を利用した攻撃によって侵入し、ご購入の際にご利用いただいたクレジットカード情報が抜き取られたとみられています。漏洩件数については、現状 291 件となります。

2018 年 9 月 25 日~2019 年 4 月 26 日の期間に弊社が運営しております「プロイデア直営ショップ」にて、クレジットカード決済をご利用になられたお客様が対象となります。

3.漏えいの可能性のあるデータについて
流出の懸念がある情報は、
・クレジットカード番号
・クレジットカード氏名
・クレジットカード有効期限
・セキュリティコード
の4つとなります。

(公式発表より引用)

 

◆キタきつねの所感

EC-CUBE利用ユーザだと思います。一部魚拓サイトから確認できないページもありますが、下記の規約ページであったり、

f:id:foxcafelate:20190811205535p:plain

 

ログインページのURLの癖がEC-CUBE標準と同じですので、ほぼ間違いないかと思います。

f:id:foxcafelate:20190811205627p:plain

 

EC-CUBEのどの部分に脆弱点があったのかについては、魚拓サイトから判別はできませんでしたが(※おそらく管理画面かな?程度です)、こちらのサイトもサイト一時閉鎖を、「イトメンテナンス」として説明していました。

f:id:foxcafelate:20190811210257p:plain

 

やはり長期間サイトメンテナンス(不自然に)しているクレジットカード決済を持っているECサイトは・・・カード情報漏洩していると推定しうえる材料となりそうです。

 

 

尚、魚拓サイトを見ていて、少し違和感を感じたのが、何度も5月にサイトメンテナンス告知の文章を変更している様に思える所です。カード情報漏洩とはこの時点で発表できないからか、告知内容に苦心している(でも楽天店舗やヤフー店舗に誘導したい)事が伺えます。

f:id:foxcafelate:20190811210701p:plain

 

291件と漏洩件数が比較的少なかったのは幸いだったかと思いますが、サイト閉鎖(4月26日~)の影響は大きかったのではないかと思います。EC-CUBEの管理(セキュリティ設定)甘いと影響が大きい、EC-CUBEのみならずECサイト構築フレーム利用のユーザは改めて、自社のセキュリティ設定を見直すべきかと思います。

 

 ※8/27追記 EC-CUBE使用ver調査結果:v2.1.3使用を確認 (魚拓:2018/8/5調査)

f:id:foxcafelate:20190827175902p:plain

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 

 

f:id:foxcafelate:20190811205333p:plain

 


 

更新履歴

  • 2019年8月11日PM(予約投稿)
  • 2019年8月27日PM EC-CUBEバージョン調査結果を追記