ストア・ストアもEC-CUBE

iPad/iPhoneアプリを使ったクラウド型のPOSレジサービスを提供するスマレジのレジ周辺商品を取り扱うECサイト「ストア・ストア」からの個人情報漏えいが報じられていました。

公式発表（スマレジ）

(1)流出した情報

当該サイトにご登録いただいている会員様のメールアドレス

(上記情報以外の流出がないことを確認しています。)

(2)流出の規模

当該サイトに登録されている一部会員様のメールアドレス(153件)

(3)原因

システムの脆弱性を突いた外部からの不正アクセス

2.発覚と対応の経緯

(1)2019年12月16日、当該サイトを管理するサーバー内にある他の当社運営サイトが閲覧できないことが発覚したため、原因究明のため、直ちに社内調査を実施いたしました。

(2)2019年12月18日、社内調査の結果、2019年12月12日～2019年12月16日までの期間、外部から当該サイトへ不正アクセスがあったことが判明いたしました。

（公式発表より引用）

キタきつねの所感

消費税率UPや軽減税率、あるいはICカード決済対応等を受けて飲食店等のレジが従来型の重厚なレジではなく、タブレットやスマホを活用したレジを多く見かける様になってきました。

そうしたレジ周りのサービスを提供するスマレジのEC通販サイトから、個人情報が漏えいした様です。漏えいした個人情報はメールアドレスが153件で、マルウェア添付ファイルを不注意で開いてしまった場合を考えると、正直そう大差ありません。

では何故取り上げるのか？ですが、公式発表で「上記情報以外の流出がないことを確認しています。」と明言している事から考えると考えすぎなのかも知れませんが、被害を受けたストア・ストアは、EC通販サイトで、ホームページを見るとクレジットカード決済にも対応しているので、少しひっかかったからです。

f:id:foxcafelate:20200202130136p:plain

f:id:foxcafelate:20200201105800j:plain キタきつねの注目ポイント

もう1点気になるが、ECサイトが外部からの侵害を受けた可能性があるのに、「社内調査しかしてない」様に思える公式発表記載になっている所です。確固たる証拠（ログ）があったのかとは思いますが、どう確認したのか？という点もひっかかりました。

2.発覚と対応の経緯

(1)2019年12月16日、当該サイトを管理するサーバー内にある他の当社運営サイトが閲覧できないことが発覚したため、原因究明のため、直ちに社内調査を実施いたしました。

(2)2019年12月18日、社内調査の結果、2019年12月12日～2019年12月16日までの期間、外部から当該サイトへ不正アクセスがあったことが判明いたしました。

現在は少しページ構成（EC-CUBEの呼び出し方）が変わっている様ですが、魚拓サイトで2018年のデータを見ると、EC-CUBEを利用している事が確認されました。（※事件を受けて対策した形跡が見受けられましたが、魚拓サイトでは2019年データが保存されていませんでした）

f:id:foxcafelate:20200201195334p:plain

とは言え、魚拓サイトのデータが古いので他でも確認しますと、規約ページもそうですが、

f:id:foxcafelate:20200201194849p:plain

会員登録ページで、EC-CUBEの”癖”が確認されましたので、事件時にEC-CUBEを利用していた事は、ほぼ間違いないかと思います。

f:id:foxcafelate:20200201195043p:plain

公式発表の書き方は、某フォレンジック会社さんの書き方と非常に似ているので、フォレンジック調査をした上で、リリースを出されていた可能性もあります。しかし、通常のフォレンジック調査は1か月程度はかかる事が多いので、時系列（調査完了が12月18日）が早すぎますし、一般的にフォレンジック調査会社を使って調査した事を公式発表に明示するかと思いますので、公式発表から見る限り、フォレンジック調査会社を使っていない可能性の方が高い気がします。

2.発覚と対応の経緯

(1)2019年12月16日、当該サイトを管理するサーバー内にある他の当社運営サイトが閲覧できないことが発覚したため、原因究明のため、直ちに社内調査を実施いたしました。

(2)2019年12月18日、社内調査の結果、2019年12月12日～2019年12月16日までの期間、外部から当該サイトへ不正アクセスがあったことが判明いたしました。