Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

EC-CUBEユーザへの注意喚起

クレジットカード情報漏えい事件 つぶやいてみた。

EC-CUBEに関しては、去年末(12/20)に経産省個社の提供サービスに対して異例の注意喚起を出しています。それに合わせてイーシーキューブ社も注意喚起を更新(12/23)し、またIPAも少し遅れて注意喚起を出しました(12/25)。

 

EC-CUBEを利用しているECサイト事業者は、イーシーキューブ社の最新の注意喚起を確認の上で、改めて自社サイトのセキュリティ状況を再チェックすべきかと思います。

 

経産省 株式会社イーシーキューブが提供するサイト構築パッケージ「EC-CUBE」の脆弱性等について(注意喚起)

IPA ECサイト構築で多く利用されている「EC-CUBE」を用いたウェブサイトでの情報漏えい被害の増加について

■イーシーキューブ 【重要】クレジットカード流出被害が増加しています。EC-CUBEご利用店舗のセキュリティチェックをお願いいたします。(2019/12/23)

 

(何度も書いている気もしますが)イーシーキューブ社の注意喚起は対策を促している割に、読み手に不親切ですリンク先を見ないと、何をすべきかが分かりません。(少し前は月次リリースに埋もれて、注意喚起を探すのも大変でした・・・)リンク先でいうと、下記のリンクを辿るとようやく注意すべき技術的情報を見ることができます。

f:id:foxcafelate:20200110142358p:plain

 

主なポイントを引用しますが、まず現状の状況確認をする事が推奨されています。(既にオンラインスキマー/不審なJavaScriptが仕掛けられてないか?)

注意喚起や、下記が何を言っているのか自社で理解できない場合はEC-CUBEインテグレートパートナー(専門家)へ相談する事や無料の脆弱性診断を受ける事が推奨されています。

 

f:id:foxcafelate:20200110143413p:plain

※個人の意見ではありますが、実績サイトを見る限りEC-CUBEインテグレートパートナー(主に制作会社)の中には、あまりセキュリティ対策を理解してないと見受けられる会社「も」あります。私は、インテグレートパートナーを推奨するのであれば、もっとイーシーキューブ社はインテグレートパートナーに対して更なるセキュリティ教育を提供すべきだと思います。

 

技術的なチェック項目は、5点出ています。

まずファイルやディレクトリの公開(パーミッション設定です。(初歩的な所ですので、個人サイトで無いのであれば、あまり事件とは関係無いのかな?と思います)

f:id:foxcafelate:20200110144635p:plain

※1/17キタきつね追記 nanasess様から下記コメントを頂きました。上記でDataディレクトリはあまり関係が無いのではないか?と書きましたが、ディレクトリが外部から見える設定(.htaccess設定してない&パーミッション設定を間違えている)にしているEC-CUBE利用ユーザの可能性があるとの事でした。Webサイト構築の基本的な所なので除外しても良いだろうと思っておりましたが、初歩的な部分について理解が不足しているユーザが一定数居るという事で訂正致します。

f:id:foxcafelate:20200117064612p:plain

 

2点目はパッチ当て(最新化)です。最新版になっているか?という部分はソフトウェア経由での不正侵入という事には影響してくると思いますので、この点は重要かと思います。

ここには書かれていませんが、サードパーティプラグインソフトのパッチ当て(最新化)も、EC-CUBEでも重大なバグ報告があったかと思いますので、パッチを(できる範囲で)当てる事をサボっているEC事業者は特に注意すべきかと思います。

f:id:foxcafelate:20200110144844p:plain

 

3点目は当ブログで散々指摘してきた(つまり一番怪しい気がする)脆弱点です。繰り返しになりますが実績サイトから推測すると、EC-CUBEサイト利用者の半分以上が、以下の脆弱性保有していると考えられます。

f:id:foxcafelate:20200110145227p:plain

参考:

foxestar.hatenablog.com

 

4点目は、3点目(特定のURLが見えるの)と同じ内容=管理者アクセス保護不備だと私は考えていますが、

f:id:foxcafelate:20200110145911p:plain

主にIP制限です。EC-CUBEも多要素認証オプションがプラグインで使えると思いますが、こうした対策も有効だと思います。

尚、Basic認証は・・・行わないよりはマシだと思いますが、個人的にはイーシーキューブ社の出す公式対策としては如何なものか?と考えます。その理由は、Basic認証にしても・・・管理者パスワードを破られたら同じだと思うからです。対策としては管理者パスワード強化(出来ればランダムパスワード)が一番安上がりな対策だと思います。

 

5点目は、これもかなり個人的には怪しい気がしている、WordpressCMS経由での不正アクセスです。EC-CUBE側が上記のような対策をしていたとしても・・・Wordpressの管理者ログイン画面が見えていて、そこを同じIDとパスワードで入れたら・・・やはりデータ侵害は発生する可能性があると思います。

f:id:foxcafelate:20200110150515p:plain

※上記の自主調査では、10%弱のEC-CUBEサイト(66サイト)でWordpressの管理者アクセス不備を見つけています。

 

 

 

本日もご来訪ありがとうございました。 

Thank you for your visit.

 

注意のマーク

 

更新履歴

  • 2020年1月10日PM(予約投稿)
  • 2020年1月17日AM コメント指摘を受け一部修正