Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

GGインターネットショップのカード情報漏えい

2020年最初のカード情報漏えい事件はクラシックギター専門出版社の現代ギター社のネットショップからでした。

www2.uccard.co.jp

 

■公式発表 

 弊社が運営する「GGインターネットショップ」への不正アクセスによる個人情報流出に関するお詫びとお知らせ

 

 このたび、弊社が運営する「GGインターネットショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(133件)及び個人情報(19,328件)が流出した可能性があることが判明いたしました。

(中略)

2.個人情報流出状況
 (1)原因
  弊社が運営する「GGインターネットショップ」のシステムの一部の脆弱性をついたことによる第三者不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
 (2)クレジットカード情報を含む個人情報流出の可能性があるお客様
  不正アクセス後、カード決済時に入力されたカード情報が不正送信されたために流出しました。対象となるお客様、流出情報は下記のとおりです。
  2019年10月6日~2019年10月24日の期間中に「GGインターネットショップ」においてクレジットカード決済をされたお客様133名で、流出した可能性のある情報は以下の通りです。
  ・カード名義人名
  ・クレジットカード番号
  ・有効期限
  ・セキュリティコード
 (3)個人情報流出の可能性があるお客様
  不正アクセスによりサーバ内のデータを不正取得されました。対象となるお客様、流出情報は下記のとおりです。
  2008年6月25日~2019年10月24日の期間中に「GGインターネットショップ」において顧客情報をご登録いただいたか、お買い物をされたお客様のうち、弊社サイト内に情報が残っていた19,328名で、流出した可能性のある情報は以下の通りです。
  ・氏名
  ・性別
  ・郵便番号
  ・住所
  ・電話番号
  ・FAX番号
  ・メールアドレス
  ・弊社サイトへのログインパスワード(暗号化されております)

(公式発表より引用)

 

◆キタきつねの所感

サイトは現在閉鎖されているので、いつも通り魚拓サイトを追いかけてみました。まず最初に分かったのがEC-CUBEでは無いという事です。EC-CUBE特有の痕跡は確認できませんでした。

とは言え、個人情報漏えいの部分はさておき、カード漏えい部分の「ペイメントアプリケーションの改ざん」については、一昨年~去年にかけて被害が急増しているEC-CUBEサイトと攻撃を受けた部分は同じです。魚拓サイトでトップ画面を見る限り、何らかの構築ECサイト構築パッケージを使ってる印象を受けました。

f:id:foxcafelate:20200109094600p:plain

 

少し調べてみると、、、スマホ版の開発をされたデザイナーの方のページを見つけました。(※今回の情報漏えいに関係が無い可能性もありますのでリンクは貼りません)

 

f:id:foxcafelate:20200109095137p:plain

 

ここにヒントがありました。PC版サイトでは「Zen-Cart」が使われていた(※上記記事は2013年当時ですが)事がわかります。Zen-Cartは特に海外で(少し前は特に)人気で、Magentoと比較される事も多いPHPベースのオープンソース(無料)ECサイト構築パッケージソフトです。

 

Zen Cart Support - Zen Cart™ - Putting the dream of your own business within reach of anyone!

 

f:id:foxcafelate:20200109095636p:plain

日本語版の公式サイトはこちらです

 

根拠となる情報はこれ以上分かりませんが、Magentoはずいぶん前から海外ハッカー(Magecart等)に集中的に狙われていますので、同じくオープンソースとして利用ユーザが多いZen-Cartも海外ハッカーに狙われる対象(攻撃手法が出来上がっている)だったのではないかと推測します。その対象が今回、たまたまGGインターネットショップだったのかと思います。

 

次に、カード情報の漏えい対象期間が「2019年10月6日~2019年10月24日」と顧客がたまたま気づいたのが早かったので比較的短期間な気がします。どんな改ざんページ(不正にカード情報を窃取する状態)だったのかは分かりませんが、(たまたま)不審に思った顧客の問い合わせがなければ、もっと被害が大きかったのではないでしょうか。

 

しかし、カード情報の漏えい開始の前(おそらく9月末~10月初旬)にはデータベースの顧客情報がすべて吸い上げられている様ですので、この時点で不正侵入(予兆)を検知できて無かったのは、GGインターネットショップ側に問題があったと思います。

昨年末に経産省まで異例の注意喚起を出したEC-CUBEとは別の構築パッケージではありますが、オープンソースの(特に海外の)パッケージは、利用者が多いが故に狙われている、そうした事にECサイト運営者(サイト管理会社)が鈍感であるのが、全世界的にECサイトからの情報漏えい事件が多発している主な理由なのだと思います。

 

 

本日もご来訪ありがとうございました。 

Thank you for your visit.

 

古いギターのイラスト

 

更新履歴

  • 2020年1月9日AM(予約投稿)