Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

MUSASHIもEC-CUBE(3系)

ここ暫くカード情報漏えい事件の発表がされてなかったのですが、栄養補助食品の通販サイトからカード情報漏えいの可能性が報じられていました。

www2.uccard.co.jp

このたび、インフィニティ株式会社より、同社サイト「MUSASHI公式オンラインショップ」において、お客様のクレジットカード情報が外部に漏えいした可能性がある、との公表がございました。現在、弊社発行のカードにつきまして、本件に起因する不審な売上の有無を確認中でございます

UCカードリリースより引用)

 

 

公式発表

見当たらず

 

 

キタきつねの所感

UCカードのホームページに漏えい記事が出ていたのですが、カード会社で報じられていて、当該サイト(ECサイト側)にリリースが出てないケースは非常に珍しい気がします。

こうした漏えい事件では、フォレンジック調査会社の調査を受けて事件詳細が明確になった上で公表されるケースが多いのですが、事件連絡の第一報でリリースが出された様な印象を受けます。

 

余談ですが、珍しくUCカードがリンクミス(タイトル違い)をしている気がします。ニュースリリース上では、”MUSASHI公式オンラインショップ」におけるカード情報漏えい対外公表について”となっていますが、

 

f:id:foxcafelate:20200203212930p:plain

 

リンク先のリリース内容は、”MUSASHI公式オンラインショップ」におけるお客様情報流出について”とタイトルが書かれており、このリリース(最終版)を出す前のタイトル名が使われたのかと推測します。

 

f:id:foxcafelate:20200203213200p:plain

 


侵害を受けたとされるMUSASHI公式オンラインショップですが、ソースを見ていくと、EC-CUBEを利用している事が判明しました。v3(3.0.15)の様です。ここ数年のEC-CUBE利用サイトはv2(2系)が多く久々にv3(3系)サイトが侵害されているのを見た気がします。

 

※記事を書いている2/3時点での最新バージョンは3.0.18ですので、最新化(パッチ当て)に問題があったのは間違いなさそうです。

※3.0.15のリリースは2017年7月13日です。

f:id:foxcafelate:20200203214811p:plain

 

 

サイトが閉鎖されてなかったので、EC-CUBEの特徴”が表れやすい会員登録ページも見てみましたが、やはりEC-CUBE痕跡が残っていました。(EC-CUBE利用で間違いないかと思います)

 

f:id:foxcafelate:20200203215354p:plain

 

漏えい件数など、何も詳細情報が公式には発表されてないので、これ以上はコメントができませんが、EC-CUBE案件が2020年に入っても侵害が続いている点、そしてv3(3系)でも侵害事件が出た事については、EC-CUBEを利用しているECサイト運営者は警戒すべきかと思います。

 

参考:EC-CUBEの注意喚起

www.ec-cube.net

 

 

本日もご来訪ありがとうございました。

Thank you for your visit.

 

 宮本武蔵の似顔絵イラスト

 

 

更新履歴

  • 2020年2月3日 PM(予約投稿)