Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

着物レンタルのオリフリもEC-CUBE

カード情報漏洩が必ずしも発表されていた訳ではないので、気づくのが遅れましたが、9月に着物レンタルのオリフリがWebページを改ざんされ、フィッシングページに誘導される攻撃を受けた様です。

www.security-next.com

 

■公式発表 フィッシング詐欺の注意喚起とお詫び

 

■今回のフィッシング詐欺ページについて
下記の条件にこころあたりがあるお客様は
フィッシング詐欺のページを閲覧された可能性があります。

[条件1]フィッシング詐欺ページへの誘導が設置されていた期間
・2019年9月7日19時~9月17日12時の間

[条件2]フィッシング詐欺へのページが表示される条件
PCサイトにて
・「お支払方法・お届け時間等の指定」
・ご注文完了前の「ご入力内容のご確認」
のページを閲覧した場合


フィッシング詐欺のページへ誘導された場合
クレジットカードの番号を入力する画面へと変わります
(公式発表より引用)

 

◆キタきつねの所感

何となく怪しい気がしたので、オリフリのソースコードをみて見たところ・・・やはりEC-CUBEの痕跡がありました。(css.js)

f:id:foxcafelate:20191011205853p:plain

f:id:foxcafelate:20191011205824p:plain

 

おそらく、決済ページが改ざんされた事が原因な訳ですが、再発防止策を見ると興味深い事が記載されていました。

■再発防止の対策として

今後の対策としまして業者を含めたシステムサポート人員の増強を図り、
システム及び不正アクセス等への監視・防御について強固な体制を構築する所存でございます。

また、具体的な対策のひとつとして
日本以外からのアクセスを制限いたしました

今回に限らず、不正アクセスは海外からの流入がほとんどと言われています。
日本以外からのアクセスを制限することで不正アクセスの可能性を減らします

そのため、日本以外に住んでいるお客様には
サイトが閲覧できなくなりご不便をおかけしますがご理解いただければと存じます

上記以外にも様々な対策を行いより強固なシステムを構築、
お客様にご安心してご利用いただけるサービスを目指します。

(公式発表より引用)

 

 

海外からのアクセスを制限するという、よくコンサルタントとしても対策案の1つとして提案する手段なのではありますが、、、ユーザの利便性なるものを意識してか、この対応を最初から考えて無いユーザが多いのが現状です。

海外のIPを弾くというのは、最近の事件を見ていると、必ずしもこれだけでリスクが下がるとは言い切れない場合もあります。事実、パスワードリスト攻撃を受け続けていて、攻撃の詳細発表が多い、セシール・オンラインショップでは、海外IP(主に中国)からだけではなく、日本国内のIPからも攻撃を受けていると発表しています。

foxestar.hatenablog.com

 

これは、元の攻撃IPは海外(中国)なのですが、日本のIPを偽装しているという事が考えられます。しかしながら、中小のECサイトであれば、ディノス・セシールの様にIP偽装をしてまでの攻撃を受けるリスクは大手サイトのそれに比べて少ないと思いますので、暫くこの対策が有効であるかも知れません。

はWeb改ざん検知を入れた方が効果は大きいとは思いますが、予算面等々あるECサイトも多いかと思いますので、最初に取り組む対策の1つとして検討の余地は(他のサイトにも)あるのではないでしょうか。

 

 

余談です。

そのため、日本以外に住んでいるお客様には
サイトが閲覧できなくなりご不便をおかけしますがご理解いただければと存じます

既に海外からのIPアクセス制限をかけているはずので、、、(この注意ページを閲覧できないので)ご理解して貰えないのではないでしょうか。

 

 

もう1つ、、公式発表を見る限り、おそらくカード情報漏洩に近しい状態になっていたのかと思われますが、この手の発表によくある、フォレンジック調査」の結果が出てないのが気になりました。当然アクワイヤラー(加盟店管理を行うカード会社)に相談して、この公式発表となっているか・・・とは思うのですが、9月7日に攻撃を受けてページ改ざんがされて、、、

2019年9月7日19時に当サイトのPCサイトにてフィッシング詐欺のページへ誘導するクラッキング(悪意あるハッキング)行為が行われていました

2019年9月18日現在はクラッキングのプログラムを改修し正常な状態に戻っております。

 

魚拓サイトで10/7のサイトを見ると、普通にカード決済ができる状態になっている様に見受けられます。だとするとフォレンジック調査+対策が1カ月未満で完了した事になるのですが、、、

f:id:foxcafelate:20191011212053p:plain

 

Whoisで見ると、GMOさん(あるいは別なアクワイヤラー)がこのインシデントを把握されているのかと思いますが、、、

f:id:foxcafelate:20191011212512p:plain

 

影響調査=フォレンジック調査を待たずに(カード決済停止せずに)、そのまま公式発表を出した・・・そんなことは無いとは思いますがすこしリリース内容に疑問を感じました

 

 

 

※11/6(水)に日本プライバシー認証機構(JPAC)様からセミナーのお話を頂きました。国内のカード情報漏洩のみならず、海外のあまり知られてないカード情報漏洩事件などを解説したいと思ってます。良かったら下記開催案内もご覧いただけたら幸いです。

www.jpac-privacy.jp

 

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

着物屋さんのイラスト


 

更新履歴

  • 2019年10月11日PM(予約投稿)