EC-CUBEユーザからのクレジットカード情報漏洩事件はいつになった落ち着くのでしょうか。マグネシウムで日本一を目指している宮本製作所がカード情報を漏洩していた可能性があると発表しました。
www2.uccard.co.jp
■公式発表 【重要】クレジットカード情報流出についてのお知らせ(マグちゃんオンラインショップ)
このたび、弊社が運営する「マグちゃんオンラインショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(最大2905件)が流出した可能性があることが判明いたしました
(中略)
(1)原因
「マグちゃんオンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われておりました。この改ざんによって決済情報入力画面が書き換えられ、お客様が当該画面で入力されたカード情報が盗取されたものと認識しております。
(2)クレジットカード情報の流出の可能性があるお客様
2018年09月27日~2019年03月08日の期間中に「マグちゃんオンラインショップ」においてクレジットカード決済をされたお客様。
対象のお客様については、順次、個別にご連絡させて頂いております。
(3)流出した可能性のあるクレジットカード情報
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
(公式発表より引用)
◆キタきつねの所感
同じような記事を続けて書くのはあまり好きではないのですが、カード情報漏洩事件が専門分野でもある為、敢えて書きます。とは言え、SUWADA、GEKIROCK CLOTHING、ビバリーに続き、1週間で4件のカード情報漏洩の発表、しかも全てEC-CUBEユーザである事を考えると、言葉が乱暴になりますが、EC-CUBE開発元である株式会社イーシーキューブは、もっとユーザに対して緊急告知を出すべきかと思います。
漏洩したカード件数の大小はともかくとして、事件発生(発表)ベースで考えると、EC-CUBEユーザ率は異常です。私の調査データ(※下記参照)では、
クレジットカード情報漏洩事件のまとめ(2019年下半期) - フォックスエスタ
・2019年下期(7月~)のカード情報漏洩事件17件中16件がEC-CUBEユーザ
・2019年上期(1月~6月)のカード情報漏洩事件19件中11件がEC-CUBEユーザ
となっています。事件の抜け落ちやカウントの仕方の問題も多少あるかと思いますが、
通年で見ても36件中27件=75%がEC-CUBEユーザ
と異常(集中的にハッカーに狙われている/いた)な数字である事がご理解いただけるかと思います。
「マグちゃんオンラインショップ」について魚拓サイトで調査してみましたが、(※上記数字にはカウントしてます)やはりEC-CUBEの痕跡がありました。v2.13の様です。
https://magchan.com/js/eccube.js
尚、EC-CUBEの開発元である、
リリース を見ても、5月の注意喚起以降は特に対外的に発表されている事は無い様に見受けられます。
5月の下記リリースも、トップページから2クリック以上しないと辿り着かない、バックナンバーに格納されています。このリリースを出したから開発元としての責任は無いとばかりに見えるのは、開発元としての説明責任を果たしているか?と言う意味では疑問です。
www.ec-cube.net
まとめ時間が取れたら、EC-CUBEユーザ一次調査を結果を発表できればと思ってますが(※諸々案件が立て込んでいてもう少しかかりそうです)、正直言えば、管理者アクセスの保護が不十分なECサイトが非常に多かったので、潜在的にもっと多くのEC-CUBEユーザがカード情報漏洩事件の発表をしても何ら不思議でもありません。
去年辺りからEC-CUBEユーザのカード情報漏洩事件が顕在化した気がしますが、もうそろそろ収束してほしいと思います。(EC-CUBE系の記事を書くのに・・秋田のはこのブログを読んでいただいている方だけでなく、私もだったりします・・・)
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
