キリが無い・・・そう強く感じているのはフォレンジック調査会社の方だろうと思いますが、私も同感です。またEC-CUBE利用サイトからカード情報が漏えいした様です。
www2.uccard.co.jp
■公式発表 【重要】個人情報流出に関するお詫びとお知らせ
(2)個人情報流出の可能性があるお客様
2015年01月01日~2018年07月24日の期間中に「ゼロフィット公式オンラインショップ」においてクレジットカード決済をされたお客様983名で、流出した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
(公式発表より引用)
◆キタきつねの所感
サイトが閉鎖しているので、いつも通り魚拓サイトを調べていたのですが、あまり魚拓が取られてないサイトでした。少し前まで遡らないと直接的なEC-CUBE利用の痕跡が出てこないのですが、例えば会員登録のURLの癖であったり、
規約ページの癖も合致しますので、EC-CUBEを少なくても事件が発生した期間に使用していた事は間違いないかと思います。
現在はサイト閉鎖中です。
少し前まで遡ると、EC-CUBE利用の痕跡が出てきました。 2017/7/6魚拓
この辺りまで遡ると、会員登録ページも出てきて、、やはりEC-CUBE独特の癖が確認できました。
事件に関して言えば、「セキュリティコード」が漏えいしてないのは比較的珍しいケースです。900件+のカード情報が漏えいしたとは言え、セキュリティコードが無いとネット上での不正購買などの悪用は、この漏えい事件だけでは難しいかも知れません。この辺りは、、、決済代行会社さん側の管理する画面でセキュリティコードを入れさせていたのかな?と思いましたがサイトが閉鎖されているので推測の域を出ません。
子会社のイオンスポーツの関連サイトとは言え、日本を代表する大手流通のイオン系列のサイトでもEC-CUBEを使ってしまっている事は、コスト重視でどこにEC-CUBEが使われているのか上位企業が把握できてない可能性が高い事を示唆している気がします。
それだけEC-CUBEが日本中に普及している良いフレームワークだと言う事もできるのですが、反面とても狙われやすい(特に古いバージョンを使っているとリスクが高い)ので、傘下の企業がどういったフレームワークを使ってECサイトを構築しているのか、調査が必要な企業もあるのではないでしょうか。
毎回書いている気はしますが、今年下半期(7月~11月)のカード情報漏えい事件発表は、、私が把握している範囲では28件にもなります。この内、25件がEC-CUBE利用サイトと推定され、驚きの9割弱のヒット率です。
foxestar.hatenablog.com
余談です。最近漏えい期間がとても気になります。カード情報が漏えいしているとの指摘(サイト閉鎖)が2019年7月16日ですが、1年程期間が合いません。
(2)個人情報流出の可能性があるお客様
2015年01月01日~2018年07月24日の期間中に・・・
(公式発表より引用)
大元のZerofit.comは2008年3月~運営されていますが、
現在閉鎖されているサイト(http://eon.xsrv.jp/store/)は、2018年11月からしか運営実績がありません。。
少し前に遡ると・・・あれ、、、オンラインショップのURL(http://store.zerofit.com/)が違いました。
2018年7月近くに、サイト引っ越しがあったと考えると、この差分はしっくりきます。
因みに、、旧サイト(http://store.zerofit.com/)の今年の5月の魚拓を見ると・・・HTMLは返してきます。。。
推測になりますが、新サイト移転に際して、旧サイトが閉鎖された事に気づいた攻撃者が、吸い上げていたカード情報を一気にブラックマーケット(DarkWeb等)に吐き出した、あるいは・・・旧サイトは何らかの理由、おそらく消し忘れでカード情報を保存していて(※改正割賦販売法違反状態)、そこを攻撃者にゴソっとデータを抜かれた・・・そんなオチなのかと想像しました。
本日もご来訪ありがとうございました。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
