Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

小嶋屋もEC-CUBE

新潟のへぎそばで有名な小嶋屋総本店の通販サイトもカード情報を漏洩したと発表していました。

www2.uccard.co.jp

 

■公式発表 「小嶋屋総本店ショッピングサイト」への不正アクセス発生についてのご報告とお詫び 

 

1、漏洩の可能性のある期間

2015年12月9日から2019年4月15日

上記期間内に、弊社ショッピングサイトでクレジットカード決済を利用された方が対象でございます。※なお、上記に該当されるお客様には、弊社より書面とメールをお送りいたしております。※電話やFAXでのご注文でカード決済されたお客様は含みません。

2、漏洩の可能性のあるデータ流出の可能性のある個人情報データは最大で8,109件。流出したクレジットカード情報については以下の通りでございます。

① 氏名

② クレジットカード番号

③ クレジットカード有効期限

(公式発表より引用)

 

◆キタきつねの所感

サイトは閉鎖されていますが、魚拓サイトで調べると、会員登録ページ(URL構成)や規約などの癖がEC-CUBE標準とまったく同じでしたので、EC-CUBEユーザ(推定)だと思います

f:id:foxcafelate:20190823081209p:plain

 

またEC-CUBEユーザか・・とは思ったのですが、公式発表を見ると、氏名+カード番号+有効期限が漏洩したとはありますが、セキュリティコードが漏洩したとは記載がありません。とは言え、カード会社(イシュア)は漏洩懸念(カード不正利用)を伝えているので、セキュリティコード(3Dセキュア)の入力を求めないサイトで不正利用されたのかも知れません。

4、対策
2019年4月15日にカード会社から決済代行会社を通じて、弊社オンラインショップで情報漏洩の懸念がある旨連絡を受け、社内での調査をいたしましたところ、漏洩懸念が判明し、被害拡大防止のため直ちにオンラインショップでのカード決済のご利用を停止いたしました。

(公式発表より引用)

セキュリティコードが漏洩してないとすると、(他のECサイトで)不正利用されるリスクは下がると思いますので、最大漏洩件数の8千件すべてが被害を受ける可能性は少ないかと思いますが、EC-CUBEユーザからまたデータ漏洩が発生したのは、残念な所です。

 

流出懸念が4月で、発表が8月・・・と時間がかかっている事も気になりますが、EC-CUBEが集中的に狙われている事が、他のEC-CUBEユーザに啓蒙される前に、カード漏洩事件が拡大していっている事も気がかりです。

 

公式発表で気になった点がもう1つあります。

ECサイト事業者は留意が必要なポイントかも知れません。

 

1、漏洩の可能性のある期間

2015年12月9日から2019年4月15日

 

最大漏洩件数が2015年まで遡っているのは・・・おそらくログが残ってなかったから、漏洩したかどうか分からないとフォレンジック調査会社(PCF社)に判断されたのだと思われます。

オンラインでログを残すと上書きして消されてしまう可能性もあるかと思いますが、定期的にログを外部にバックアップしたり、ログ容量を増やすなどもしておかないと、最大被害件数が増える(=対応費用が嵩む)事もありますので、十分な留意が必要かと思います。

 

 ※8/27追記 EC-CUBE使用ver調査結果:v不明 (魚拓:2019/1/22調査)

  http://www.hegisoba.net/js/css.js

 EC-CUBE利用は確認されましたが、差分情報を持ってない為、Verは不明

f:id:foxcafelate:20190827183153p:plain

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 

f:id:foxcafelate:20190823080758p:plain


 

更新履歴

  • 2019年8月23日AM(予約投稿)
  • 2019年8月27日PM EC-CUBEバージョン調査結果を追記