東京新聞のEC-CUBEに関する記事を読んで、納得する部分も多くありましたが、少し認識が違う点もありました。
www.tokyo-np.co.jp
インターネット通販サイトで買い物中に偽のクレジットカード決済画面が現れ、利用客の入力したカード情報を盗まれる新手口の被害が相次いでいることが分かった。電子書籍など少なくとも七サイトが被害に遭い、流出した可能性のある情報は合計で約一万五千人分に上る。
ハッカーはサイトの欠陥を悪用しており、利用客が被害に気付くのは非常に困難だ。情報セキュリティーの専門家は通販サイト運営者に対策強化を呼び掛けている。
被害は昨年から今年にかけて確認された。このうち東京都の電子書籍などの販売会社「ディー・エル・マーケット」は七千七百四十一件、松山市のタオル販売会社「伊織」は二千百四十五件のカード情報がそれぞれ流出。一部の情報は不正利用が確認された。
これらのサイトの多くが、オープンソースと呼ばれる無償ソフトの一つで、通販サイト構築用の「EC-CUBE」を使っていた。開発会社は「ソフト自体ではなく、設定の不備などから生じた欠陥が狙われた」とみている。ハッカーは、通販サイトのサーバーに侵入し、本物そっくりの偽の決済画面を仕込んでいるという。
利用客が通販サイトで商品を選び終え、支払いにクレジットカードを選ぶと偽画面が出現。カード情報を入力するとエラーが表示される。前の画面に戻ると、今度は本物のカード決済画面に進んで買い物が完了する。
通販サイトのセキュリティーに詳しいコンサルタントの鶴島剛さんは「欠陥のあるサイトを自動で探すコンピュータープログラムがあるようだ。通販業者はサイトに問題がないかを厳しくチェックする必要がある」と話している。
(東京新聞記事より引用)
◆キタきつねの所感
読売新聞の記者さんが『サイトの欠陥の悪用』で事件を片付けようとしている様にも読み取れるのは残念な所です。
言葉が乱暴になりますが、ECサイト運営者の『設定ミス』(設定不十分)と言い換えた方が、読者に正しい情報を伝える、あるいはECサイト運営側を啓蒙するという意味では効果的な気がします。
カード情報漏洩事件については、当Blogoのこのタグを辿って頂くか、Security Nextさんの過去記事を丹念に探すと大体の事件が網羅されていると思いますが、最近だと小田垣商店、エーデルワイン、ベルアメール、ななつ星ギャラリー、サーカス・・・とリリースが出ているので、記事にも書かれている様に、ECサイト利用者も、ECサイト運営者(特にEC-CUBEの様な汎用パッケージを使っている場合)も注意が必要です。
記事の後半に、欠陥のあるサイトを自動で探すコンピュータプログラムがあるようだ、とあります。DarkWebに行けば、そんなツールが転がっているのかも知れませんが、自動ツールを使わなくてもEC-CUBEサイトを探す事はできなくはありません。
※自動ツールも何かしらの共通点を探して、不備のあるサイトを検索するのでしょうから、手動検索ができる点はもしかすると共通である可能性もあります。
なので、EC-CUBE利用サイト(らしき所)を少し調査してみました。
EC-CUBEの癖については、いくつかありそうです。
5/16の小田垣商店の記事でも挙げていますが『https://www.XXX.co.jp/shop/entry/...PHP』とPHPを使ったパッケージなので、php拡張子部分をキーにする事でもある程度判別ができそうです。
※他のメジャーなECサイト構築パッケージではあまりPHPは使われてない様です。
『/shop/entry』もEC-CUBEの標準的な構築URLの癖と言えるかも知れませんが、普通にWebサイト構築している時にもよく使われるフォルダ名でもあるので、この条件だけで検索してもヒット率はそんなに高くはありません。
ではどうやればEC-CUBE利用サイトが効率よく調べられるか・・・となると、簡単な方法としては、EC-CUBE開発コミュニティを見て、特に初心者を追っかける事かも知れません。URLかメールアドレスが何らかの形で分かれば(そうした情報を意図せず公開していれば)攻撃対象のサイトが分かるかも知れません。
下記の様なサイトからコミュニティサイトから情報収集する、という考え方はよくハッカーが使う手です。(故にこうしたオープンサイトでの公開情報には十分に留意する必要があります)
とは言え、こうした調査には時間がかかるので、効率的とは言えません。
今回見つけたのが、とあるEC-CUBEのファン(開発者)サイトに、EC-CUBEサイトの”癖”が書かれており、それを検索キーとして使った所・・・かなりヒットしました。
※悪用される恐れもありますので、そのものずばりの検索キーワードはここには書けませんが、サイト構築者がパッケージの初期設定をそのまま使うと(上記の/shop/entry/などもそうですが)検索にかかりやすくなる(脆弱になる)癖が残るとだけ書いておきます。
※EC-CUBEは大手企業はあまり使いませんが、今回使ったキーワードでそれなりの規模の企業がいくつかヒットし、EC-CUBEを使っている可能性がある事が分かりました。
■EC-CUBE利用(想定)サイトの簡易調査結果
調査サイト74(内 EC加盟店 60) 調査日:2019/5/19
※検索条件(EC-CUBEを使っている可能性が高い)にひっかったサイトは、もっと多いのですが、あまりにも時間かかりそうだったのでGoogle検索で10P見てやめました。
※EC加盟店でない14サイトは会員管理としてEC-CUBE系を利用している様です
①EC-CUBE利用を隠せている(=管理ログイン認証にたどり着けなかった):17サイト(約23%)
・正しくWeb実装が出来てそうなサイト:12サイト
・軽微な指摘があるサイト:5サイト
EC-CUBEの管理アクセスは、こんな標準的なログイン画面が出てくるのですが、EC-CUBE開発側の意図通り、標準のフォルダ構成をきちんと変えているのが、この17サイトなのかと思います。
軽微な指摘サイトとは、こんな画面が出てくる(※EC-CUBE使っている事がエラーメッセージの右上のロゴから実はわかってしまう)こんなサイトであったり、
エラーにはなるのですが、自サイトの利用しているソフトウェアやバージョンが出てきてしまう様なサイトです。セキュリティ実装という観点では、ここを消せている方が、攻撃者にヒントを与えないので良いかと思います。
一方で、EC-CUBE利用サイトは今後もカード情報等の個人情報漏洩事件が多発するだろうな、と予感させたのは、今回の調査では、EC-CUBE利用をうまく隠せてないサイトがあまりに多かったからです。
②EC-CUBE利用をうまく隠せてない(=管理ログイン画面に容易にたどり着ける):57サイト(約77%)
・EC-CUBE管理ログイン(汎用)を利用:39サイト
・EC-CUBE管理ログイン(カスタマイズ)を利用:12サイト
・Basic認証を利用:6サイト
※注:今回の調査ではURLが実在するかを確認していますが、その先(ログイン試行)は進んでない事を付け加えておきます。
容易に推測できる(標準構成の)URLを使っているサイトは想像以上に多い様です。カスタマイズサイトの多くは、左側のロゴとサイト名などを少し変えているだけでしたので、39+12サイト=51サイト(約69%)は、(攻撃を受けた場合)管理者IDとパスワードが強固である事を祈るばかり・・・という状況と言えるかも知れません。
※余談ですが、正に真上のコピーライトの所・・・古いEC-CUBE利用をしている事もこうしたシグネチャから外部に把握されてしまう可能性もあります。
Basic認証利用の6サイトは、EC-CUBE利用か正確にはわからないのですが、これ以外にも推定しうる条件が揃っていた事と、容易にBasic認証画面にたどり着けそうだったので、EC-CUBE利用をうまく隠せてない、②として分類しました。
最後に・・調査している中では3サイトだけでしたが、本来見えてはいけないインストールフォルダらしき所が閲覧可能になっている様に見受けました。(Readオンリーだったかどうか、あるいは実行まで許可されているかまでは調べてませんが、本来はこのフォルダは削除されるか管理者以外は見れない設定が正しい気がします。)
先日の小田垣商店の記事でも取り上げましたが、EC-CUBEが緊急の告知を出しています。上記調査の脆弱性の懸念点は、すべて下記に記載されており、無料の診断を含めての対策方法も記載されています。EC-CUBEユーザは、改めて自社サイトを守るために一読される事を強くお勧めします。
www.ec-cube.net
※もしかすると、今回の調査結果(生データ)が見たい方も居るかも知れませんが、かなり怖いデータが出てきてしまったので・・・オープンの場では公開はできそうにありません。。。
更新履歴
