またEC-CUBE案件が出ていました。
www2.uccard.co.jp
■公式発表 弊社が運営する「5pb. Records div2 official shop」への不正アクセスによる個⼈情報流出に関するお詫びとお知らせ
2019 年 4 ⽉ 24 ⽇、ヤマトフィナンシャル株式会社から弊社サイトがフィッシング詐欺サイトへ誘導されている可能性があると連絡を受け 2019 年 4 ⽉ 24 ⽇弊社が運営する「5pb.Records div2 official shop」でのカード決済を停⽌いたしました。同時に、第三者 調査機関による調査も開始いたしました。
2019 年 6 ⽉ 29 ⽇に調査機関による調査が完了し、2019 年 4 ⽉ 10 ⽇〜2019 年 4 ⽉ 24⽇の期間に「5pb. Records div2 official shop」で購⼊されたお客様、及びクレジット決済を試みたお客様のクレジットカード情報が流出した可能性が確認されました。
個⼈情報流出状況
(1)原因
弊社が運営する「5pb. Records div2 official shop」のシステムの⼀部の脆弱性をついたことによる第三者の不正アクセス
(2)個⼈情報流出の可能性があるお客様
2019 年 4 ⽉ 10 ⽇〜2019 年 4 ⽉ 24 ⽇の期間に「5pb. Records div2 official shop」で購⼊されたお客様及び、クレジット決済を試みたお客様 147 名で流出した可能性のある情報は
以下のとおりです。
・カード名義⼈名
・クレジットカード番号
・有効期限
・セキュリティコード
(公式発表より引用)
◆キタきつねの所感
正直、決済代行会社(ヤマトファイナンシャル ※事件リリースで決済代行の名前が出るのは珍しい気がします)の検知が漏えいから2週間と早かったので、被害がが少なかったと思います。
サイトが閉鎖されてなかったので、すぐに調べてみましたが、やはりEC-CUBEでした。
最近不思議に思うのが、EC-CUBEの実績サイトに登録されているサイト(※結構のサイトが未だに脆弱性があります)では無いECサイト事業者が事故報告を上げている事が多い事です。「5pb. Records div2 official shop」も、実績サイトには掲載がありません。(※もともと非公開か、侵害後に消した可能性はありますが・・・)
攻撃側がどういった形でEC-CUBEの攻撃対象サイトを探しているのかと想像すると、ツールで探している気がしますが、php構成の癖や、会員登録ページの構成でも癖があるので、、、こうした所を検索キーにしている可能性があるのかと思います。
攻撃の手法はわかりませんが、「実在URL確認」のテストをした感じでは、、何となく怪しそうな(ページエラーにならない)気がしましたが、確証はありませんでした。
4月に侵害を受けている部分については、カード決済を止まった事をTwitterやページ上で記載していましたが、長期間「不具合」=クレジットカード漏えい(かサイト閉鎖?)の事例がまた増えてしまいました。最近忙しくて中々、カード決済停止サイトの調査ができてませんが、定期的に調べた方が良いのかなと・・・思います(※やるとは言っていませんが)
EC-CUBEサイトからのカード情報漏えい事件は、下期で27件(内EC-CUBE24件)が拾えてますが、年内(来年も)まだまだ出てきそうな感じですね。
foxestar.hatenablog.com
余談です。事件の公式発表(リリース)のPDFファイル名を見ると
1カ月位、カード会社等の都合で事件発表が待たされている事が想像できます。リリース文章は、、、10月15日には完成していたと言う事なのかと思います。
本日もご来訪ありがとうございました。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
