Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

HARIOもEC-CUBE

お盆休み中は1件も出て無かったかと思いますが、新たにまたカード漏洩事件が発表されていました。

www2.uccard.co.jp


 

■公式発表 弊社が運営する「HARIOネットショップ」への不正アクセスによる個人情報流出に関するお詫びとお知らせ

 

5月8日に、一部のカード会社から同サイトを利用した顧客のカード情報の流出懸念について連絡があり、同日中に同サイトでのカード決済を停止し第三者機関による調査を開始したところ、7月7日に完了した調査結果より顧客のカード情報流出と一部のカード情報の不正利用の可能性を確認したというもの。

流出した可能性があるのは、2018年11月23日から2019年5月8日に「HARIOネットショップ」でカード情報を入力し決済を行った2,577件のカード情報(名義人名、カード番号、有効期限、セキュリティコード)。なお、期間中であっても登録済みのカードで決済したカード情報の流出は確認されていない。

また、2,325件の会員ログイン用メールアドレスとパスワードも流出した可能性が確認された。

 

(Scan Net Security記事より引用)

 

◆キタきつねの所感

魚拓サイトで調べていたのですが、侵害を受けた「HARIOネットショップ」(※現在は閉鎖中)がPHPを使っている事は分かったのですが、会員サイトがどういった構築をされていたのか、もっと言うとEC-CUBEだったのかどうかはっきりしませんでした。

 

しかし少し調べてみると・・・関係会社の実績ページ答えが書いてありました

f:id:foxcafelate:20190823071309p:plain

 

やはりEC-CUBEの様です。

f:id:foxcafelate:20190823071906p:plain

 

漏洩データの時期から判断すると、EC-CUBE関連のカード情報漏洩事件が多発し始めていた頃に合致します。もっと言えばEC-CUBE5月に重要なお知らせという名の緊急告知を出していますが、HARIOもこの対象だったのかも知れません。

 

不正アクセスを受けてカード情報を漏洩した各社の公式発表を見ても、ほとんどのケースでEC-CUBEを利用していた事を公表していません。ですが今年に入ってからの事件では圧倒的にEC-CUBEユーザからの漏洩が続いています。フォックスエスタの方でとりまとめてますが、HARIOの件を入れると今年に入ってカード情報漏洩が27件あり、その内16件がEC-CUBEユーザとなり、全体に占める割合は約60%です。異常値といっても差し支えありません。

 

クレジットカード情報漏洩事件のまとめ(2019年下半期) - フォックスエスタ

クレジットカード情報漏洩事件のまとめ(2019年上半期) - フォックスエスタ

 

EC-CUBEの名前を出す影響が大きいから公表しないのか、単純な設定ミスや脆弱なパスワード等、自社が侵害を受けた理由があまりにお粗末すぎて発表できないのかは分かりませんが、EC-CUBEだと発表されてない事件(忖度)が多いが故に他の(被害を受けてない)EC-CUEBユーザも脆弱なままであって、そこをハッカー側は集中的に狙っているのではないでしょうか?

 

EC-CUBEの開発元、デザイン会社、あるいはECサイト事業者はもっと危機感を持つべきだと思います。

 

EC-CUBEユーザは、HARIOEC-CUBEで構築していたサイトを一新する、と読み取れる内容がある事にも留意が必要かも知れません。

同社では今後、調査結果を踏まえてシステムのセキュリティ対策と監視体制の強化を行い再発防止を図る。なお、5月9日から閉鎖していた同サイトについては、セキュリティの観点から再開を断念し、新規のショッピングサイトを開設し、会員情報の移管も行わないとのこと。

(Scan Net Security記事より引用)

 

旧サイトのセキュリティ強化をしてPCI DSS審査を受けるよりも、新たにセキュリティが強化されたフレーム(サードパーティのサービス)で新規サイトを構築する、という意味かと思いますが、セキュリティ向上のために、一定以上の費用をかける事を示唆しています。

 

EC-CUBEユーザは自社サイトの設定の再確認、ログの確認(侵害されてないかどうか)を急ぐと共に、Webサイト改ざん検知や、脆弱性診断などを検討した方が良いかと思います。

 

※8/27追記 EC-CUBE使用ver調査結果:v2.1.3

f:id:foxcafelate:20190827175353p:plain

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 

 

f:id:foxcafelate:20190823075900p:plain


 

更新履歴

  • 2019年8月23日AM(予約投稿)
  • 2019年8月24日AM  Scan Net Security 記事が消えていたのでUCカードリリースに更新
  • 2019年8月27日PM EC-CUBEバージョン調査結果を追記