先週は本業の方が忙しくて調査が出来ませんでしたが、もう1件カード情報漏えいが発表されていましたので、こちらの方もみて見ましたが、こちらは・・・EC-CUBEの様です。
www.security-next.com
■公式発表 モーターマガジン社より重要なお知らせ
モーターマガジン社は、同社ウェブサイトが不正アクセスを受けて顧客のクレジットカード情報が流出した可能性があることを明らかにした。
同社によれば、2018年8月21日から2019年6月27日におかけて、同サイトで商品を購入した顧客のクレジットカード情報が外部へ流出し、一部が不正利用された可能性があることが判明したもの。
流出の可能性があるのは、顧客のクレジットカード情報211件。カード名義やカード番号、有効期限、セキュリティコードなどが含まれる。システムの脆弱性を突かれたことによる不正アクセスが原因だという。
(Security Next記事より引用)
◆キタきつねの所感
現在のコーポレートページ(https://www.motormagazine.co.jp/)は、カード情報を漏えいした構成とは変わっているので、魚拓サイトから調べてみると、ネット通販のボタンがあったので、こちらのリンクを辿ってみると・・・
別サイトに到達します。サイト名が「モーターマガジン Web Shop(MM Style)」となっていて、公式発表にあった「モーターマガジン社コーポレートサイト」とは違う様です。
サイトは停止されてませんでしたし、、会員登録画面を進むと・・GMOの「Makeshop」サイトに行きましたので、どうやらこちらが被害を受けたサイトでは無さそうです。魚拓サイトを見ても・・・特に変わらなかったので、「外れ」の様です。
トップページ(魚拓)に戻って探してみると・・・ありました。「MYページ」のリンクが怪しそうです。
こちらも会員登録画面があったので、リンクを辿ると・・・馴染み深い「.../shop/entry/」を発見し、その他の証跡もEC-CUBEの癖と合致しました。
ここまでくると、ソースにこの表示を発見するのは簡単でした。またEC-CUBEで合っている様です。(2系ですね)
侵害を受けた事が発覚したのが6月27日、モーターマガジン社は、「EC-CUBEサイトが襲われている」事に対する感度が鈍かった事が侵害を受けた(影響範囲が拡大した)原因の1つと言っても差し支えないのではないでしょうか。
違う見方をすれば、通販サイト側はMakeShopを採用していて、コーポレートサイトがEC-CUBEを採用している、、、どちらか片側(普通であれば有償スキームのMakeShop)に合わせきれてなかった事も影響した可能性が高いかと思います。
ECサイトは一度作ったら終わりではなく、デザイン以外の要素、つまりセキュリティ状況(インシデントが多発している、あるいは大きな脆弱性が報告された)といった要素でも、リニューアル(セキュリティ強化)や他スキームへの移行を考えるべきなのだと思います。
本日もご来訪ありがとうございました。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
