EC-CUBEサイトからのカード情報漏えいの発表はいつまで続くのでしょうか。AKIBA-HOBBYがカード情報漏えいの発表を出してました。
www.security-next.com
■公式発表 「AKIBA-HOBBY」への不正アクセスによる個人情報流出に関するお詫びとお知らせ
2.流出の可能性がある期間と対象となるお客様
2018年9月28日から2019年3月20日
上記期間内に弊社オンラインショップでクレジットカード決済をご利用された220件のお客様が対象となります。
※なお、上記に該当されるお客様には、弊社より、別途メールもお送りいたしております。
3.対象となるお客様のクレジットカード情報の内容
流出した可能性があるお客様のクレジットカード情報は以下の通りとなります。
① カード名義人名
② クレジットカード番号
③ 有効期限
④ セキュリティコード
4.原因
外部からのWebアプリケーションの脆弱性を利用した攻撃により、弊社オンラインショップのクレジットカード決済システムの一部が改ざんされ、お客様がご利用されたクレジットカード情報が窃取されました。
(公式発表より引用)
◆キタきつねの所感
最近はカード情報漏えい事件が発生すると、脊髄反射的にEC-CUBE利用の有無を探すようになってしまったのですが、やはり今回もEC-CUBEでした。
バージョンは2.13の様です。(※緑色のコメントアウトが2.13である事の痕跡となります)
少し「いつもと」違う表現になっていると思ったのが、事故原因の「外部からのWebアプリケーションの脆弱性を利用した攻撃」という表現です。
※注:EC-CUBEサイトからのカード情報漏えい事件の場合は、「システムの一部脆弱性を突いた第三者の不正アクセス」と書かれている事が多いです。(下記参照)
クレジットカード情報漏洩事件のまとめ(2019年下半期) - フォックスエスタ
最終的にカード情報が窃取されたのは、EC-CUBEの内側に入られて不正なJavaScriptコードを挿入された(いわゆるオンラインスキミング手法)事になるのかと思いますが、その前段階として、Webページ改ざんに至った経緯については、いくつかのケースが考えられます。単純な所では、管理者アクセス保護不備、、という初歩的な脆弱性ですが、、日本語の表現として「Webアプリケーションの脆弱性」と書かれると、、少し違うかと思います。
この表現で私が想像する侵入方法は、「SQLインジェクション」等の攻撃です。
EC-CUBEが公表している脆弱性リストでは・・・
脆弱性リスト | ECサイト構築・リニューアルは「ECオープンプラットフォームEC-CUBE」
2.13に絞ってみて見ると、怪しそうなのは、クロスサイトスクリプティングですが「中」「低」しか見つかりません。
EC-CUBEのソフトウェアではなく、特定のプラグインを利用していた場合は、SQLインジェクションの脆弱性が1件ひっかかりますが、、、
scan.netsecurity.ne.jp
この脆弱性が悪用されると、当該製品にログイン済みのユーザによって、SQL文を実行される可能性がある。なお、開発者によると本脆弱性によって可用性に影響が及ぶものの、データベース内の情報を取得されたり、改ざんされたりすることはないとしている。
(Scan netsecurity記事より引用)
登録ユーザ(会員)側からSQLインジェクションが出来そうではありますが、データ窃取やWebページ改ざんまでは出来ない様ですので、少し違う気がします。
もう1つ可能性があるかな?と思ったのが、特定の決済代行会社との通信に使う決済モジュールですが、、、中を見ると、結構深刻な内容です。
jvn.jp
■脆弱性の説明
ルミーズ決済モジュール(2.11 系・2.12 系・2.13 系)で使用される一部機能を利用して、特定の情報の抽出及び任意のスクリプトを実行される脆弱性が存在します。
攻撃者および被害者の条件については以下の通りです。
・攻撃者の条件
管理者、一般ユーザのログイン有無にかかわらず、誰でも攻撃可能。
・被害者の条件
当該 EC-CUBE 利用サイトで会員登録の有無に関係なく注文を行ったことがあるユーザ全てが対象。
また、ルミーズ決済モジュールで提供する決済方法(クレジットカード決済・マルチ決済)に限らず、全ての決済方法が対象です。
■脆弱性がもたらす脅威
本モジュールをインストールしている場合、攻撃が成功すると悪意のある第三者によって、お客様の個人情報が抜き出される可能性、及び任意のスクリプトを実行される可能性があります。
■対策方法
・修正方法:モジュールのバージョンアップ
バージョン 3.0.13 以降のモジュールにバージョンアップを行うことで、本件の脆弱性は修正されます。
(ルミーズ発表内容から引用)
特定の決済代行会社のツールを使った場合という前提条件がありますが、誰でも情報窃取、任意スクリプトの実施が可能・・・かなり深刻な内容ですし、対策方法が2系だった場合は3系以降にアップデートする事が推奨されている事を考えると、、、EC-CUBEが攻撃を受け続けているのはここに原因があったのか?と一瞬思いましたが、、、
公開日 2019 年 10 月 2 日
脆弱性の公開日から考えると辻褄が合わない気がします。流出データは去年の8月~今年の3月となっているので、0ディだった可能性はあるものの、もしそうだった場合、特定の決済代行会社ばかりが漏えい事件を起こしていた事について、去年もEC-CUBEサイトからカード情報漏えい事件は多発してましたので、もっと早い段階から警察、カードブランド、決済代行会社は気づいていたかと思います。
気づいていて、脆弱性発表が10月である事はあまり考えられません。
という訳で、これ以外の脆弱性(0ディ含)であった可能性はありますが、もう少し単純な設定ミス(管理者アクセス保護不備を含む)だった気がします。
余談です。お詫びとお知らせ・・の前に『リニューアル』の告知が出ていました。
この告知が出た日付が不明なのですが、
「誠に勝手ながら現在御登録の会員情報は移行されません」
とあるので、EC-CUBEから他のフレームワークに移行するのかと推測できます。
(EC-CUBEのバージョンを上げるのであれば、会員情報は引き継げると思いますので・・)
まだ被害を受けてない(被害を受けている事に気づいてない)EC-CUBEの特に2系ユーザは、最新バージョン(3系以上の)への移行あるいは、他の攻撃を受けにくいフレームワークに移行する事も、真剣に考える時期に来ている気がします。
本日もご来訪ありがとうございました。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
