Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ダートバイクプラスオンラインストアもEC-CUBE

バイク用品通販サイトからのカード情報漏えいが報じられていました。またEC-CUBEサイトの様です。

www.security-next.com

 

■公式発表 「ダートバイクプラスオンラインストア」への不正アクセス発生についてのご報告とお詫び

 

1.漏洩の可能性のある期間ならびにお客様について
 2018年12月27日から2019年7月3日上記期間内に、ダートバイクプラスオンラインストアクレジット決済をご利用された方が対象でございます。
※なお、該当されるお客様には、弊社より、別途メールにて個別にご案内もお送り致しております。
2、漏洩の可能性のあるデータ
流出の可能性のある個人情報データは最大で3,103件
流出したクレジットカード情報については以下の通りでございます。
①カード名義人名
②クレジットカード番号
③有効期限
④セキュリティーコード
3、原因
弊社が運営する「ダートバイクプラスオンラインストア」のシステムの一部の脆弱性をついたことによる第三者不正アクセス

(公式発表より引用)

 

◆キタきつねの所感

システムの一部の脆弱性何を意味するのか?は、長くカード業界(の端っこ)に居る私でも未だに謎(※)なのですが、今回のダートバイクプラスオンラインストアEC-CUBEを利用している痕跡を確認しました

 

※個社の広報戦略上は正しい表現と見る事も出来ますが、これだけEC-CUBE利用サイトからのカード情報が続いている事を考えると、真の脆弱性が事件の公式発表で記載されない=他の事業者の気づきが弱くなっている点については、個人の意見ではありますが、こうした記載表現をすべきと助言をした関係者の方々の判断が一部間違っている様に思えます。

 

f:id:foxcafelate:20200118172905p:plain

 

何度も書いている事ではありますが、イーシーキューブ社の出している注意喚起について、EC-CUBEを利用しているECサイト運営者は把握しておくべきかと思います。(でないと、半年後には事件リリースを出している可能性もあるのです)

www.ec-cube.net

 

余談です。こうした事件リリースを読んで分析をする際に(無駄な行為かもしれませんが)私は時系列をなるべく見る様にしています。大したところではないのですが、今回1点ひっかかったのが、

 

4、対策
2019年7月1日にカード会社から決済代行会社を通じて、弊社オンラインストアで情報漏洩の懸念がある旨連絡を受け、社内での調査をいたしましたところ、漏洩懸念が判明し、被害拡大防止のため直ちに「ダートバイクプラスオンラインストア」のショッピングサイトを休止いたしました。

(公式発表より引用)

 

7月1日にサイトを止めましたという公式発表の記載です。

 

この後、オンラインストアを閉鎖している事をユーザ告知(HP上の発表)しているのですが、

f:id:foxcafelate:20200118075319p:plain

これが7月2日です。先にサイトを停止(7月1日)しておいて、ユーザ告知が少し後になっただけかと思いますので、ここの差分(1日違い)も特に違和感はありません

 

では何がひっかかったのか?というと、

 

1.漏洩の可能性のある期間ならびにお客様について
 2018年12月27日から2019年7月3日上記期間内に、ダートバイクプラスオンラインストアクレジット決済をご利用された方が対象でございます。

(公式発表より引用)

 

漏えい期間が7月3日まで、となっている事です。サイト停止が7月1日だったとすると、7月2日~3日は、

 

ECサイトが停止しているのに、どうやってカード漏えいが発生した(クレジット決済を利用できた)のでしょうか?

 

恐らくこうした小さな差分を気づく(気にする)のは、ごく一部の方しかいないと思いますが、こうした矛盾を気づく力は、サイバーセキュリティ(OSINT)の世界では知見を高める上で重要な要素なのではないかと思い、答えが出ない事が多いのですが、なるべく考える様にしています。

 

foxestar.hatenablog.com

 

本日もご来訪ありがとうございました。 

Thank you for your visit.

 

バイク事故のイラスト

 

更新履歴

  • 2020年1月18日AM(予約投稿)