Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

JTAS StoreもEC-CUBE

PCI DSS クレジットカード情報漏えい事件 考えてみた。

日本関税協会のオンラインショップ「JTAS Store」からのカード情報漏洩が発表されていました。

※仮記事からの更新です。 

www.security-next.com

 

■公式発表

弊会が運営する「JTAS Store」への不正アクセスによるクレジットカード情報流出に関するお詫びとお知らせ

 

 (1) 原因
弊会が運営する「JTAS Store」のシステムの一部の脆弱性をついたことによる第三者不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため
(2) 情報流出の可能性があるお客様
2018年12月21日~2019年5月24日の期間中に「JTAS Store」においてクレジットカード決済をされたお客様
(3) 流出した可能性のある情報
・クレジットカード番号
・有効期限

・セキュリティコード
・クレジットカード会員名
(4) 流出可能性があるカード情報の数
最大228件

(公式発表より引用)

 

◆キタきつねの所感

日本関税協会(JTAS STORE)もEC-CUBEユーザでした。Twitter等で関連情報をチェックしていると、EC-CUBEユーザである事を探して意味があるのか?といった書き込みを目にする事もありますが、あまりにも漏洩事件(件数)が多すぎる、そして去年に比べて事件件数が急増している事から、既存EC-CUBEユーザへの啓もうを考えると、可能な限り調査(公表)すべき事だと私は思います。

 

クレジットカード情報漏洩事件のまとめ(2019年下半期) - フォックスエスタ

※6月以降に公表されているカード情報漏洩事件17件(この記事作成時)の内、16件がEC-CUBEユーザだと思われます。事件公表数は比較データがありませんが、去年の倍以上のペースだと思います。

 

EC-CUBEユーザだと明記しない公式発表(※いわゆるお詫び)については、漏洩を発生させたECサイト側の意向もあるのかと思いますが、発表を受けてそれを報じる各種記事(メディア)にも、EC-CUBEを利用していた事がほとんど出てこない事にも、こうした事件拡大を許している、つまり(海外)ハッカーの集中攻撃を受けている原因があるのではないでしょうか?

 

簡易調査で見つけていた痕跡ですが、JTAS STOREの魚拓に出ていました。

f:id:foxcafelate:20190921075836p:plain

 

ちょっと見にくいと思いますので、拡大すると、、、EC-CUBEの痕跡があります。

※また、最下段の「次期メジャーバージョン(2.14)にてeccube.legacy.jsは削除予定」はEC-CUBEのバージョンが2.13の時に出てくるコメントです。現在は延長サポートが残っているとはいえ、古い2系を使っていた事がわかります。

f:id:foxcafelate:20190921081206p:plain

 

 

カード漏洩事件の疑いがあり、フォレンジック調査(※カード会社/決済代行会社から調査指示がECサイトにされます)がされる場合、カード決済を止めなければなりません。その為、一般的には(まだカード情報が漏洩したと確定した訳ではないので)システム不具合、メンテナンス等の理由をつけてカード決済を止める事になります。

 

最近は調査を本格的にしてませんが、下記の様な所が「怪しい」ところとして引っかかります。

現在メンテナンス中のECサイトについて(カード情報漏洩の可能性有) - フォックスエスタ

 

JTAS Storeも5月末の時点で気づいたので、掲載していましたが、、、残念ながらカード情報が漏洩していました。

 

因みにJTAS Storeの「新着・更新履歴」を見ると、この辺りの流れが俯瞰できます。

f:id:foxcafelate:20190921075013p:plain

 ※まずは5/24にカード決済を突如止めるので「メンテナンス」として告知を出します。

 

その後5/25に追加のお知らせにて「システム不具合」と発表しています。(当初はカード情報漏洩の恐れ・・と書いていたのですが、PCF社からか修正指示があった様で、、この表記に変えた様です)

 

f:id:foxcafelate:20190921075120p:plain

 

7月末には・・調査が思った以上に長期に渡り、申し込みに影響が出てきたので、追加告知を出しています。

※この時点まで引っ張る「メンテナンス」「システム不具合」は・・・一般的には無いと思いますので、隠すべき事案が発生していると考えるのが自然です。

 

f:id:foxcafelate:20190921075150p:plain

 

そして、今回の事件リリース。フォレンジック調査を急ぐと臨時対応コストがかかると言われていますので、5月の侵害の発表が9月(※約4カ月)になるのは仕方が無い部分もあるかと思いますが、EC-CUBE脆弱性対策、その管理アクセスの保護が不十分である場合、カード情報漏洩に対する直接的な費用(フォレンジック調査、カード再発行・・・)だけでなく、数カ月ビジネスが止まる(影響を与える)可能性がある、そのことをもっと多くのECサイト事業者は考える必要があるのではないでしょうか。

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

f:id:foxcafelate:20190921081844p:plain


 

更新履歴

  • 2019年9月21日AM(予約投稿)