Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Cardshop SerraもEC-CUBE

PCI DSS クレジットカード情報漏えい事件 不正アクセス事件 調べてみた。

全世界で2000万人のプレイヤーが居ると言われる戦略的トレーデングカードゲームMTGマジック・ザ・ギャザリング)のトレーディングサイトもカード情報漏えい被害を受けた様です。

www.security-next.com


 

■公式発表  弊社が運営する「Cardshop Serra」への不正アクセスによる個人情報流出に関するお詫びとお知らせ

 

2.個人情報流出状況
(1)原因
弊社が運営する「Cardshop Serra」のシステムの一部の脆弱性をついたことによる第三者不正アクセス
(2)個人情報流出の可能性があるお客様
2017年09月17日~2018年11月08日の期間中に「Cardshop Serra」においてクレジットカード決済をされたお客様(4,982件)で、流出した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

(公式発表より引用)

 

◆キタきつねの所感

既にタイトルにもつけてますが、EC-CUBEユーザでした。会員登録のURL等が特徴的なのですが、こうした部分だけでなく、

f:id:foxcafelate:20191122205730p:plain

 

呼び出しているJavaScriptからもEC-CUBEの痕跡(v2)を確認しています。

f:id:foxcafelate:20191122205757p:plain

 

カード情報の漏えいに関しては、EC-CUBE系の他の漏えい事件と同じく、管理者IDやパッチ等の何らかの脆弱点を突かれたのだと思いますが、少し変だなと思うのが、1年前の事件が11月に発表されている事です。

 

1.経緯
2018年11月08日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の流出懸念について連絡を受け、2018年11月08日弊社が運営する「Cardshop Serra」でのカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました2019年09月30日、調査機関による調査が完了し、2017年09月17日~2018年11月8日の期間に「Cardshop Serra」で購入されたお客様クレジットカード情報が流出し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

(2)個人情報流出の可能性があるお客様
2017年09月17日~2018年11月08日の期間中に「Cardshop Serra」においてクレジットカード

(公式発表より引用)

 

この事件に関しては、やはり時系列がおかしい気がします。公式発表を見ると、、

 

 ①2018/11/8 カード会社からの指摘、カード決済停止、フォレンジック調査依頼

 ②2019/9/30 フォレンジック調査会社の調査完了

 ③2019/11/21 事件を公表

 

となるのですが、フォレンジック調査に約11カ月かかっていますが、こんなに調査がかかる事件はあまり記憶にありません。

 

ハッカーが証跡を消去して解析が困難だった・・という事も考えられなくはありませんが、多発しているEC-CUBEサイトからのカード情報漏えい事件ですので、この事件だけ特殊パターンだったという可能性は少ない気がします。

フォレンジック調査”依頼”の所が、リリースに書かれている「同時」よりも遅かった、、、といった可能性を感じますが、これ以上発表は出ないかと思いますので、推測の域を出ません。

 

余談ですが、Cardshop Serraの事件後のリリースが公式発表に加えて3つ出てました。事件後の丁寧な顧客対応(告知)という点では、他のサイトも参考になるのではないでしょうか。(※顧客からの問い合わせが想像以上に多かったという事かも知れませんが・・・)

 

店舗業務4日止めた様ですし、

f:id:foxcafelate:20191123065123p:plain

 

店舗の電話でこなせないからでしょうが、コールセンターを設置した様です。

それと、「指定情報確定位置」なる専門用語があるのですね。。。初めて知りました。

f:id:foxcafelate:20191123065247p:plain

 

時間があったのですから、最初から出しておけば良かったのにと思わなくはありませんが、

11/22にFAQも出ています。

f:id:foxcafelate:20191123065318p:plain

FAQを見ると、決済代行会社の「カード情報非保持サービス」は期日(2018年5月末)までに対応していた様ですが、それでも侵害された(セキュリティコードも漏えいしています)という事から考えると、偽ページへの誘導か、変なJavaScriptを仕掛けられての漏えいなのかなと思います。

 

EC-CUBEサイトは狙い打ちされている、今回は1年前の侵害事件だったとは言え、事件件数が一向に減らない(下期は30件発表されています)事から、まだまだフォレンジック調査会社さんは特需が続く気がします。

foxestar.hatenablog.com

 

 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

トレーディングカードの自動販売機のイラスト

 
 

更新履歴

  • 2019年11月22日PM(予約投稿)