金剛堂オンラインストアもEC-CUBE

連日ECサイトからの漏洩事件が報じられるのは、カード会社側でまとめた方が良い・・・といった理由でもあるのでしょうか。創価学会専門の仏壇・仏具を販売する金剛堂からのカード情報漏洩が報じられていました。

■公式発表　弊社が運営する「金剛堂オンラインストア」への不正アクセスによるクレジットカード情報流出に関するお詫びとご報告

(1)流出した可能性がある期間・規模
　 2014年12月31日～2019年2月21日の間に当該サイトでクレジット決済されたお客様
　 30,830件

(2)流出の可能性があるクレジットカード情報
　・カード名義人名
　・クレジットカード番号
　・有効期限
　・セキュリティコード

（中略）

2.経緯

2019年2月21日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の流出懸念について連絡を受け、同日、「金剛堂オンラインストア」でのカード決済を停止いたしました。
また、速やかに外部の第三者機関である「P.C.F. FRONTEO株式会社」（以下、「PCF社」といいます）に依頼し、調査を開始しました。PCF社の最終インシデント調査報告書によりますと、システムの一部脆弱性を狙った不正な改ざん（※フォームジャッキング）が発見されたことから、お客様のクレジットカード情報が不正取得された可能性があることを確認いたしました。

（公式発表より引用）

◆キタきつねの所感

金剛堂のサイトを魚拓サイトで見ると、EC-CUBEと判断される特徴がありました。

f:id:foxcafelate:20190725160446p:plain

創価学会系のサイトというと、昨年10月にSOKAオンラインから、フォームジャッキング（決済画面（偽）ページから情報が窃取される攻撃）でカード情報が漏洩しましたが、ファイルの改ざんが2014年末から2019年2月という事なので、標的型攻撃の可能性もありそうです。scan.netsecurity.ne.jp

気になったのは、フォレンジック調査で漏洩対象期間が2014年からとなっていた点です。改ざんされたファイル（※決済ページだと思いますが）のタイムスタンプが2014年となっていて、これが事実だとすると、4年間、不正侵入（ページ改ざん）の事実に気づかなかった事になります。

4年の間に自己点検するタイミングは何回かあったかと思います。

例えば2018年3月~5月頃に実施したECサイトが多いカード情報非保持化対応、あるいはSOKAオンラインが侵害を受けた後に、自社のECサイトのセキュリティを見直してなかった事が被害を拡大したのではないでしょうか。

これが多くのECサイトの現状だとすれば、今後も（特に中小規模の）ECサイトから漏洩事件は継続的に出てきてしまう事が懸念されます。カード情報非保持にしておけば安全であるというのは過信であり、ECサイト運営事業者は、自社の責任範疇の部分については非保持は担保してくれてないという事に、今一度注意を払うべきだと思います。

※8/27追記　EC-CUBE使用ver調査結果：v不明　（魚拓：2019/1/19調査）

　http://kongodo.co.jp/js/css.js　

　EC-CUBE利用は確認されましたが、差分情報を持ってない為、Verは不明　

f:id:foxcafelate:20190827182820p:plain