2019年下半期初のカード情報漏えいが発表されてました。そしてやはり、EC-CUBEだったので、今後も同じ攻撃が続くのかなと予感させます。
www2.uccard.co.jp
■公式発表 弊社が運営する「バイクパーツ・バイク用品の通販ゼロカスタム」への不正アクセスによる個人情報流出に関するお詫びとお知らせ
※2019/7/5 サイト閉鎖を確認(トップページ(https://zerocustom.jp/)含め、Yahooトップページに飛ばされます) ■■■こうした企業姿勢は如何なものかと・・・。
(1)原因
弊社が運営する「バイクパーツ・バイク用品の通販ゼロカスタム」のシステムの一部の脆弱性をつき、プログラムの改ざんが行われたため
(2)個人情報流出の可能性があるお客様
2018年8月30日~2019年1月31日の期間に 「バイクパーツ・バイク用品の通販ゼロカスタム」においてクレジットカード決済をされたお客様273名で、流出した可能性のある情報は以下の通りです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
(公式発表より引用)
◆キタきつねの所感
2019年に入ってから同じパターンでの事件が続いています。
今回の事件も、EC-CUBEの管理者権限が窃取されて、カード会員情報を入力する偽ページ(悪意のあるJavaScript)を仕込まれた事が原因だと推測されます。
ZERO CUSTOMの管理者アクセス部分に脆弱点があったのかどうかは、分かりませんでしたが(既に改修されている可能性もあります)EC-CUBE利用については、比較的容易に判明しました。
ZERO CUSTOMは新規会員登録が可能でした。EC-CUBEにはURLや新規登録ページでの「癖」がありますが、このサイトはデザインも標準的なスタイルでしたので、癖を見るまでもなく、EC-CUBEだと判断がつきました。
(そうなんだ・・と)気になったのは、カード決済案件が(比較的)少ないECサイトだからかも知れませんが、
調査機関による調査が完了し、2018年8月30日~2019年1月31日の期間に 「バイクパーツ・バイク用品の通販ゼロカスタム」で購入されたお客様クレジットカード情報が流出し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
約5か月不正アクセス(侵害)を自己検知出来ていない部分です。中小規模のECサイトであれば、仕方が無い部分もあるかと思います。ですが管理者で気づけないのであれば、やはり改ざん検知など、外部のサービスを使う事が必要なのかと思います。
しかし、それ以上に重要なのが、管理者アクセスが最初の入り口だったとすれば、ID/パスワードの脆弱性が問題だったと思われます。
管理者ログインが『外部に見えていた』点、そして、その管理者アクセスが『強力なパスワード』で保護されてなかった点については、多くのEC事業者も自分にも降りかかってくるかも知れないと考えるべきポイントかと思います。
ECサイトはいまだ狙われています。その理由は『同じパターン』で攻撃できるからだと言っても過言ではありません。PCI DSSでは、プログラム作成者や実装者もセキュリティ教育を受ける対象となります。
PCI DSSv3.2.1
要件6.7
安全性の高いシステムとアプリケーションを開発・保守するためのセキュリティポリシーと操作手順が文書化されて使用されており、影響を受ける関係者全員に知られていることを、確実にする。
実行計画ではPCI DSSは、ほとんどのEC事業者(そのサイトの構築事業者)は準拠する事が求められませんでしたので、この要件を見ている方は少ないのかと思いますが、いわゆるOWASP TOP10であったり、安全なWebサイトの作り方であったり、自社のセキュアなプログラム開発(ECサイト構築)に必要な教育を関係者全員にする事が求められています。
最近のECサイトからの事件事例を見ている限り、ECサイト/ECサイト構築事業者は、PCI DSSが要件6で要求している観点で、自社サイトを再点検しているとはとても思えません。だから事故が多発しているのではないでしょうか?
※諸々調査中です。調査途中経過はフォックスエスタにて掲載しております。ご興味ある方は下記をご覧になって下さい。結果がまとまるまで、まだ暫く時間がかかりそうですが、ECサイトのセキュリティ体制については、かなり危ない(まだまだ事件が出てくる可能性が高い)・・という予感がしてます。
キタきつね作業状況(~7月) - フォックスエスタ
現在メンテナンス中のECサイトについて(カード情報漏洩の可能性有) - フォックスエスタ
更新履歴
- 2019年7月3日PM(予約投稿)
- 2019年7月5日PM サイト閉鎖を確認(Yahooトップページに飛ばされます)