またEC-CUBEだった様です。新潟の高性能ニッパー等の製造をしているSUWADAオンラインショップからカード情報が漏洩したと発表されていました。
www2.uccard.co.jp
1. 経緯
2019 年 4 月 15 日、弊社が運営する「SUWADA オンラインショップ」において不正アクセスの可能性が疑われ、当日中にすべての運営を停止いたしました。同時に、第三者調査機関「P.C.F.FRONTEO 株式会社」による調査も開始いたしました。
2019 年 5 月 31 日、調査機関による調査が完了し、2018 年 12 月 21 日~2019 年 4 月 15 日の期間に「SUWADA オンラインショップ」でクレジットカード決済をされたお客様の情報の流出が判明し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
2019 年 7 月 17 日にクレジットカード会社による調査が完了し、それを受けクレジットカード情報が流出したお客様へは、個別に書面の郵送にて、事象報告とお詫びのご連絡をさせていただいております。
2. 流出した個人情報
「SUWADA オンラインショップ」においてクレジットカード決済をされたお客様 449 名様分
(2018 年 12 月 21 日~2019 年 4 月 15 日にご利用された方)
【個人情報の詳細】
クレジットカード会員名・クレジットカード番号・有効期限・セキュリティコード
(公式発表より引用)
■公式発表 「SUWADA オンラインショップ」への不正アクセスによる個人情報流出に関するお詫びとお願い
◆キタきつねの所感
カード情報漏洩は、特にここ2か月はほぼEC-CUBEユーザといっても過言ではありません。7月1日~9月6日で見るとカード情報漏洩事件は(少なくても)14件発表されていますが、この内13件(92%)がEC-CUBEユーザです(※キタきつね調べ)。フォレンジック調査に一定の時間がかかるので、実際に不正アクセスを受けた時期が去年後半~今年前半である事を考慮しても、多くのEC-CUBEサイトが無防備である事を示唆しているとしか思えない比率です。
参考:クレジットカード情報漏洩事件のまとめ(2019年下半期) - フォックスエスタ
不正アクセス被害を受けたサイト(SUWADAオンラインショップ)は閉鎖中でしたが、魚拓サイトにはデータがありましたので、こちらを調べてみたところ、、
残念ながら、(また)EC-CUBEの痕跡がありました。
http://www.suwada.co.jp/onlineshop/js/eccube.js
http://www.suwada.co.jp/onlineshop/js/eccube.legacy.js
このファイルがあるという事は、v2.13より前のバージョンで稼働していたという事だと思います。JIMOSを調べていた時にも出てきましたが、互換性維持の為のJSファイルもありましたので、やはり公式サポートが切れていたバージョンであったという事が分かります。
JIMOSもEC-CUBE - Fox on Security
とは言え、公式発表には「不正アクセスを受け」としか事件の原因は書いてないので、何の脆弱性を攻められたのかははっきりしません。古いバージョンが故の脆弱性という事も考えられますが、EC-CUBEサイトの脆弱点(個人)調査の結果から考えると、『管理者アクセスの保護不備』が最も疑わしいと思います。
こうした脆弱性についてはEC-CUBE以外のパッケージでも潜在的な脆弱性を持つところが多いかと思いますが、ユーザ数が多いが故に、ハッカーに集中的に狙われている(いた)事に、もう少し開発元、デザイン制作会社、EC-CUBEユーザは警戒し、既に不正アクセスを受けているのではないかという観点でサイトを緊急チェックすべきだと思います。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
