ArmoniaもEC-CUBE - Fox on Security

またカード情報漏えいが発表が出ていました。

www2.uccard.co.jp

2 - 個人情報流出の可能性があるお客様
2018年8月20日～2019年4月26日の期間中に「Armonia本店」においてクレジットカード決済をされたお客様649名で、流出した可能性のある情報は以下のとおりです。

・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティーコード

（公式発表より引用）

◆キタきつねの所感

2018年の6月1日に改正割賦販売法の施行がされていますので、おそらくArmoniaはカード情報非保持ソリューションを導入していたものと思います。

PCI DSS準拠はほとんどのEC加盟店が選択していませんし、準拠してたとすれば、少し専門的になりますが、要件11.5を満たせない可能性が高くなります。この要件では、変更検出メカニズム（改ざん検知等）の導入が書かれていて、EC事業者の業務形態の場合は、EC-CUBE等の事故が多発している事もありますが、「自社が管理する決済ページ又は決済ページへのリンクページ」が監視対象に入れているかと思います。

f:id:foxcafelate:20191106054934p:plain

ですが、現実的には、「カード情報非保持をしているから大丈夫！」と目をつぶっているEC事業者は多く、その設定の隙、あるいは脆弱性を海外ハッカーがスキマーを（数カ月前に）仕掛けた・・といった事実が、更に半年以上経ってカード情報漏えい事件として発表されているのです。

フォレンジック調査では詳細の侵入時期（の痕跡）が調べられたかと思いますが、公式リリースには記載されてないので、カード情報漏えい期間の始めに「スキマー」が仕掛けられたと仮定すると、

1.経緯
2019年4月26日(金)14時にクレジットカード決済代行会社からカード情報流出の懸念について連絡を受け、同日17時に弊社通販サイト「Armonia本店」における当該サイトのサービスを停止致しました。

第三者調査機関である P.C.F. FRONTEO株式会社へ調査を依頼し、2019年5月9日(木)より調査を開始し、6月20日(木)に同調査機関より最終調査報告書を受領のうえ、2018年8月20日から2019年4月26日の期間に「Armonia本店」で購入されたお客様クレジットカード情報が流出し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認致しました。

（公式発表より引用）

・侵入時期が2018年8月20日

・検知時期（サイト停止）が2019年4月26日

・検知をしたのは決済代行会社

となります。つまりArmoniaは8カ月の間侵入されていた（カードを不正窃取されていた）事になります。決済代行会社がカード不正利用に気づいた（＝既にカードがDarkWeb等で売買され、出し子が集中的に不正購買した事を検知した）のに例えば1カ月の分析時差があるとすると、今年の3月~4月初旬にはもう既に不正購買が「終わっていた」のが、最終的に11月に発表される、これが今の日本の現状なのです。

自社で（Webページ改ざんを）検知できてないので、侵害期間が長くなるのは仕方が無い事ではありますが、EC-CUBEの件に関しては、特に開発元のイーシーキューブ社の対応（特に啓蒙）がうまくいってないので、半年~1年前に発生した事件が、まだ発表され続けると思います。

さて、EC-CUBEの根拠ですが、現状のサイトからもEC-CUBE痕跡が出てきますので、、他のEC-CUBE攻撃案件と同じ脆弱性を攻められたのだろうなと思います。

f:id:foxcafelate:20191105155343p:plain

※開発元のイーシーキューブ社の今年5月の注意喚起は過去リリースを漁らないと出てこない位置に格納されていますので、敢えてリンクを貼っておきますが、EC-CUBEを利用しているユーザは（詳しくは、こちらの資料をご確認ください。）と書かれているリンク先（※注：リンク先を見るのが当たり前！とのイーシーキューブ社の不親切さがここにニジミ出ています）を確認すべきかと思います。

www.ec-cube.net

実は、JC3の方が、注意喚起の真ん中くらいまでページをスクロールしないと見えませんが、リスクがよく分かりやすくなっているので、こちらを見た方が（※上記「こちらの資料」に書かれている、確認ポイントや対策の詳細以外は）分かりやすいかも知れません。

注意情報｜一般財団法人日本サイバー犯罪対策センター

f:id:foxcafelate:20191106060903p:plain