JIMOSが運営する3サイトに対して不正アクセスによるカード情報漏洩の懸念が発表されていました。
netshop.impress.co.jp
化粧品通販JIMOSは8月22日、運営するECサイト(マキアレイベル、Coyori、代謝生活CLUB)が不正アクセスを受け、顧客情報の一部が流出した可能性あると発表した。
被害拡大を防止する為、クレジットカード決済の停止措置をとり、「マキアレイベル」「Coyori」「代謝生活CLUB」の3つのECサイトを8月1日に一時休止している。
自社ECサイトにてお知らせを行うと同時に、ECモールへのリンクを貼り商品購入を求めるユーザーをモールへ案内している。
現在、第三者調査機関に調査を依頼。調査結果や再開予定時期などの更新情報は、ホームページ上にて告知するという。
(ネットショップ担当者フォーラム)
■公式発表 JIMOS マキヤレイベル Coyori 代謝生活CLUB
◆キタきつねの所感
ECサイトからの事故報道があった場合、EC-CUBEサイトかどうかを、URLや特徴的な標準フォーマットで探していたのですが・・・とある方がもっと簡単な見分け方があるとつぶやいていたので、探してみたのですが・・・
※規約ページのURL標準例(.../Kiyaku.php)
確かにこちらの方が簡単でした。魚拓サイトのソースコードを見ると・・・EC-CUBEのJSを呼んでいるのが丸わかりです。
今回の対象サイト「マキアレイベル」
EC-CUBEの最新バージョンになっているかは分かりませんでしたが、
「Coyori」を見ると、
こちらもEC-CUBEで間違い無いようですが、※説明が残っていました。
<!-- #2342 次期メジャーバージョン(2.14)にてeccube.legacy.jsは削除予定.モジュール、プラグインの互換性を考慮して2.13では残します. -->
EC-CUBEのバージョンが2.13であった事を指す様です。マキアレイベルも「eccube.legacy.js」が残ってましたので、同じバージョンだったのだと思われます。
※今年に入ってからのカード漏洩サイトも改めて調べてみたのですが、バージョン明記はされてなかったので2.13だけにコメントが付いている気がします。
最後に「代謝生活CLUB」を見てみます。こちらも変わりません。
EC-CUBE ver2系は2008年のメジャーリリースバージョンですが、一度2016年にサポート延長がありましたが、2.13系は2017年7月に延長サポートも切れていたかと思います。ver3系やver4系なら、ついうっかりパッチ適用ミスがあったという事も考えられなくもありませんが、今回の件が、フォレンジック調査の結果、カード情報が漏洩したいたとすれば、他の多くのEC-CUBEサイトがそうである様に、管理者アクセスへの保護不足か、古いバージョンであるが故に既知・未知の脆弱性を突かれたという2つの可能性がありそうです。
詳細は続報を待つしかありませんが、ECサイト側の何らかの不備の可能性が高い気がします。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
