Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

アネモネもEC-CUBEだった

 またECサイトからカード情報が漏洩していました。残念ながら悪い予感は当たるもので、カード情報非保持(周辺)は破られ続けています。

www.security-next.com

 

アクセサリーやバッグを取り扱う通信販売サイト「アネモネ」が不正アクセスを受け、クレジットカード情報を含む顧客の個人情報が外部に流出した可能性があることがわかった。

同サイトを運営するサンポークリエイトによれば、不正アクセスを受けて同サイトに不正なプログラムが設置され、顧客が入力したクレジットカード情報や、データベースに格納されていた顧客情報が流出した可能性があるという。

2018年9月3日から12月27日にかけて、同サイトで決済画面で入力されたクレジットカード情報2606件が被害に遭った可能性がある。クレジットカードの名義や番号、有効期限、セキュリティコードなどが含まれる。

さらにデータベースに格納されていた顧客の氏名や住所、電話番号、生年月日、性別、メールアドレスなど、個人情報4万1355件が流出したおそれがある。

(Security Next記事より引用)

 

公式発表 不正プログラム混入による個人情報流出に関するお詫びとご報告

 

 

◆キタきつねの所感

ECサイトは狙われているという意識が希薄な気がします。そしてフォレンジック調査会社が現在調査中であろう漏洩事件(まだ世間に発表されてない)を含め、今後も中小ECサイトからカード情報漏洩は継続的に出てきてしまう、つまり『カード情報非保持』にしたから大丈夫と思っているECサイトが今後も漏洩事件を発表する可能性は残念ながら高いと思われます。

 

因みに、公式発表には攻撃を受けた脆弱性についての明確な記載はなく、

 

(3)原因
三者による不正プログラムの混入の可能性があります。

(公式発表より引用)

 

といったECサイト情報漏洩事件によくある『第三者不正アクセスを受け・・・』の表現に留まっています。第三者にカード情報が漏洩した場合、不正アクセスでないとすると、内部漏洩しか考えられませんので、表現としては間違い無いのですが、フォレンジック調査の最終報告(※ほぼ間違いなく漏洩に至った脆弱性を特定しているはずです)を受けての公式発表としては、個社の対応としては正しいのかも知れませんが、侵害を受けた本当の部分を隠すのが当たり前になってきている事は如何なものかと思います。

 

事件を受けての第一報というならば分からなくもないのですが、最終報告なのであれば、SQLインジェクションApacheStruts2のパッチ当て・・・等々、インシデントの本当に細かい部分ではなく、何の脆弱性を突かれたのか、何が悪かったのか、そうした事がきちんと発表されないと、次のECサイトに被害が拡大してしまう可能性が高くなります。

 

『第三者不正アクセスを受け・・・』という事件を受けての発表内容で、マスコミやステークホルダーが突っ込みを入れない(不自然だと思わない)のだから、これで良いとされるのかも知れませんが、もの好きなインシデントアナリスト(私)だけでなく、侵害を受けたECサイトも、マスコミも、ステークホルダーも、もっとインシデントが発生した原因部分について興味を示すべきかと思います。

 

現在進行形で他のECサイトが侵害を受けているかも知れないという事を考えると、こうした消極的な発表と、それを良しとする日本社会の風潮がハッカー側に対して利する事となり、結果としてECサイトの被害が拡大していると、私は思います。

 

 

なので、調べました。

 

以下、簡易調査なので正しく無い情報が含まれている可能性もありますが、アネモネEC-CUBEを攻められたと思われます

 

去年のアネモネサイト(http://www.sanpocreate.com/anemone)の魚拓を見ると、上部に会員ログイン画面があります。ここから辿っていくと・・・

f:id:foxcafelate:20190609094332p:plain

 

URLの構造を含む、いくつかの特徴が一致する事から(少なくても去年前半の段階では)EC-CUBEを使っていた事が分かります

f:id:foxcafelate:20190609095041p:plain



漏洩したデータから考えると、管理者権限が完全に奪取されていた事がわかります。

(2)流出の規模(最大可能性)

①クレジットカード情報の件数
2018年9月3日~2018年12月27日の間に当該サイトでクレジットカード決済をご利用されたお客様情報
2606件

②顧客データベース情報
41355件

(公式発表より引用)

 

被害を受けたサイトが閉鎖されている様ですので、以下は推測でしかありませんが、類似のEC-CUBEサイトの攻撃事例やSecurity Nextの記事から考えると、

管理画面が初期設定に近いURL構造に置かれていた事から、管理画面に対して総当たり(ブルートフォース)攻撃をされて、その結果、偽決済ページに飛ぶ設定に書き換えられたのかと思います。個人情報はDBから全件抽出されたファイルを同様に不正転送させてのかな?と思います。

同サイトを運営するサンポークリエイトによれば、不正アクセスを受けて同サイトに不正なプログラムが設置され、顧客が入力したクレジットカード情報や、データベースに格納されていた顧客情報が流出した可能性があるという。

(Security Next記事より引用)

 

この推測が正しければ、インシデントの主な原因は、EC-CUBEの管理者ログイン画面(が外部から見えた)と、管理者パスワードの脆弱性(使いまわし)、サイトの改ざん検知不備、であったと思われます。

 

 

繰り返しになりますが、EC-CUBEを使っている運営事業者は、以下の開発元が5月に出した注意喚起は熟読すべきかと思います。

www.ec-cube.net


多くのEC-CUBE利用サイトが同様な攻撃を受けている様です。以下記事も参照下さい。

foxsecurity.hatenablog.com

 

 

余談です。

 

調査していて、初めはワードプレス脆弱性かな?と思ってました。以前のサイト(http://www.sanpocreate.com/anemone ※EC-CUBE利用と推測される)は閉鎖してますが、

 

新しいサイト(https://anemone-official.jp/)はワードプレスで構築されており、・・・下記のページに辿りつけました。詳しく書きませんが、初期設定だと比較的容易に(管理者ログイン画面への)URLが推測できます。

(※注 ページの存在を確認しただけで、この先には進んでいません)

f:id:foxcafelate:20190607125705p:plain

 

ここを総当たり(ブルートフォース)攻撃して、成功すればハッカーは管理者権限を乗っ取ることができると思うので、wp-login.php攻撃を疑いました。(※上記のEC-CUBEの管理者ログイン画面への攻撃と同じです)

 

とは言え、この画面が見えてしまったという事を考えると、、、アネモネ(サンポークリエイト)がたとえ新たにセキュリティを講じたサイトでカード決済が再開できたとしても、そのセキュリティ対策には一抹の不安を感じます。

 

参考まで、ワードプレスにおけるwp-login攻撃についてはワードプレス公式でも注意喚起と対策例が出されていますので、以下を参照されると良いかと思います。(※EC-CUBEやその他のECサイト構築フレームワークでも対策部分はほぼ同じだと思います)

wpdocs.osdn.jp

 

 

 ※8/27追記 EC-CUBE使用ver調査結果:v不明 (魚拓:2018/3/7調査)

  http://www.sanpocreate.com/anemone/js/site.js

 EC-CUBE利用は確認されましたが、差分情報を持ってない為、Verは不明

f:id:foxcafelate:20190827201706p:plain

 

f:id:foxcafelate:20190609101848p:plain

 

更新履歴

  • 2019年6月9日AM(予約投稿)
  • 2019年8月27日PM EC-CUBEバージョン調査結果を追記