米国の独立記念日(7月4日)を祝っての祝砲?なのかと思う程に、ECサイトからのカード情報漏洩事件が立て続けに発表されています。スキー用品販売で有名な石井スポーツも被害を受けた様です。
www2.uccard.co.jp
■公式発表 弊社が運営する「Ski&Winter Sports Online Shop」への不正アクセスによる個人情報流出に関するお詫びとお知らせ
2.個人情報流出状況
(1)原因
弊社が運営する「Ski&Winter Sports Online Shop」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスがあり、ペイメントアプリケーションの改ざんが行われたため
(2)個人情報流出の可能性があるお客様
2018 年 9 月 10 日~2019 年 3 月 20 日の期間中に「Ski&Winter Sports Online Shop」においてクレジットカード決済をご利用されたお客様最大 650 名で、流出した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
(公式発表より引用)
◆キタきつねの所感
今回被害を受けたサイトを見てみましたが、簡易調査(魚拓サイト利用)では、EC-CUBEを利用したサイトが被害を受けた様です。恐らく偽サイトからのカード情報漏洩かな・・・と思います。
尚、被害を受けたサイトは、こんな画面構成(※現在はオンラインショップを閉鎖中)でしたが、、
会員登録の部分にEC-CUBEの特徴的な癖があるので、EC-CUBEで間違いないかと思います。
魚拓サイトで調べていて、気になる部分を発見しました。今回被害を受けたのは「SKI ONLINE」真ん中下のサイトなのですが、、、
右下に似た様なオンラインサイト(b.c.map ONLINE)があります。こちらをクリックしてみると・・・
みると・・現在「メンテナンス中」の様です。
本来だと、以下の様なトップ画面が出るはずなのですが・・・少し怪しい気がします。とは言え公式発表では2サイトが被害を受けた、とまでは踏み込んで書いてないので、恐らくは問題ないのかと思いますが、少し違和感を感じました。
こちらもカード情報が漏えいしている(調査中の)可能性がありそうですので、”グレーサイト”に掲載しておきます。
foxestar.hatenablog.com
※8/27追記 EC-CUBE使用ver調査結果:v不明 (魚拓:2018/9/10調査)
http://ici-skionline.com/js/css.js
EC-CUBE利用は確認されましたが、差分情報を持ってない為、Verは不明
更新履歴
- 2019年7月3日PM(予約投稿)
- 2019年8月27日PM EC-CUBEバージョン調査結果を追記