Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Naturas Psychos ProductもEC-CUBE

PCI DSS クレジットカード情報漏えい事件 不正アクセス事件 考えてみた。

9月17日に、アロマオイル・エッセンシャルオイル通販のNaturas Psychos Productからカード情報漏洩が発表されていました。 

www.security-next.com

 

■公式発表

弊社が運営する「Naturas Psychos Product」への不正アクセスによる個人情報流出に関するお詫びとお知らせ

 

(1)原因
弊社が運営する「Naturas Psychos Product」のシステムの脆弱性をついた第三者の不正
アクセスによる弊社サイトの改ざん
(2)個人情報流出の可能性があるお客様
2018 年 12 月 11 日~2019 年1月 26 日の期間中に「Naturas Psychos Product」にお
いてクレジットカード決済をされたお客様 203 名で、流出した可能性のある情報は以
下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

(公式発表より引用)

 

◆キタきつねの所感

19日は日本関税協会と併せ、2件のカード情報漏洩事件が発表されていました。侵害時期こそ違いますが、今年の前半にかけて攻撃を受けていた件が9月に発表されている事を考えると、「現在」攻撃を受けているサイトは同様に考えると・・・来年の1月~3月辺りに発表が出てくる可能性が高い訳ですが、少なくてもEC-CUBEユーザでない事を祈りたいと思います。さて、

 

EC-CUBEの証跡ですが、魚拓サイトで確認が取れました。2018年10月28日の魚拓から拾いましたが、下記のJavaEC-CUBEのものを呼び出していて、

f:id:foxcafelate:20190921154550p:plain

 

中を開くとEC-CUBEの機能パーツである事がわかります。

f:id:foxcafelate:20190921154414p:plain

毎回同じ様な事を書いている気がして仕方が無いのですが、昨年からEC-CUBEユーザが同じ攻撃を受け続けている中で、やはり警戒心が薄いECサイト事業者が多い気がします。対象サイトが多い事があったとしても、明日は我が身と考えないEC-CUBEユーザが多いが故に、ハイペースでカード情報漏洩事件(の発表)が続いている事は間違いありません。

 

 

2019年2月9日の魚拓をみて見ると、、、

f:id:foxcafelate:20190921154635p:plain

とあり、1月26日に警察から連絡を受けて、カード決済を止めた際の顧客説明(メンテナンス)が残されていました。

 

サイトを停止して暫く経った、2019年3月2日の魚拓には、

f:id:foxcafelate:20190921154900p:plain

 

フォレンジック調査に時間がかかる事からだと思いますが、楽天市場(別ECサイト)への誘導のお知らせが出てきます。「セキュリティ強化が必要になった」と言うのは上手な言い回しかと思いますが、侵害の経緯について公式発表では、

1.経緯
2019 年1月 26 日、警察組織から、弊社サイトを利用したお客様のクレジットカード情報の流出懸念について連絡を受け、2019 年1月 26 日弊社が運営する 「Naturas PsychosProduct」でのカード決済を停止いたしました。
本件事態を受けまして、第三者調査機関による調査に着手し、2019 年4月 22 日に調査が完了致しました。調査機関からの報告では、第三者不正アクセスにより弊社サイトが改ざんされ、2018 年 12 月 11 日から 2019 年1月 26 日までの期間に「Naturas Psychos Product」でクレジットカード決済を選択されたお客様が、偽の決済画面へ誘導され、そこで入力され
たクレジットカード情報が流出し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

(公式発表より引用)

 

とあり、決済ページ改ざんが直接の原因だったことがわかります。

 

それでは何故サイト改ざんが起きたのか?という、もっと重要な部分については、実は何も語られていません。

EC-CUBEの既知(未知の)脆弱性を突かれたハッキング・・・とも考えられなくもありませんが、1800サイトを自主調査した結果から言えそうなのは、もっと基本的な部分、すなわち管理者アクセスの保護が脆弱すぎるサイトが多かったので、そこが突かれた可能性をまず疑います。

 

言い方を変えるならば、IDとパスワードに全てを寄せてしまう管理手法は限界があり、ハッカーがよく使うであろうツールを使った(機械的な)パスワードリスト攻撃に対してあまりにも脆弱です。

とはいえ、コストがかかる事を極端に気にする中小のEC事業者であっても、非常に高いセキュリティツールを入れなくても、簡単な対策で防ぐことができると思いますし、それすらも出来ないのであれば、パスワードを”乱数”等の強いもの(容易に推測できない&使い回ししてないもの)にするだけでも、一定の効果があると思います。

ECサイト(CUBE)運営者、あるいは事業者はいまいちど、自身のサイトを見直すべきだと強く思います。

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 f:id:foxcafelate:20190921162034p:plain

 


 

更新履歴

  • 2019年9月21日AM(予約投稿)