ワイン通販サイトからのカード情報漏えいが報じられていました。
www.security-next.com
公式発表
(1)原因弊社が運営する「世界のワイン葡萄屋」のシステムの一部の脆弱性をついたことによる第三者の不正アクセス(2)個人情報流出の可能性があるお客様2019年10月20日~2019年12月6日の期間中に「世界のワイン葡萄屋」においてクレジットカード決済をされたお客様658名で、流出した可能性のある情報は以下のとりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティーコード
(公式発表より引用)
キタきつねの所感
ワイン関係のサイトというのは、比較的高額な商品もある為か、ECサイトの中でも狙われやすい特性がある気がします。2019年には5月にエーデルワイン、6月に熊本ワインショップと立て続けにカード情報漏えいの発表がされました。
エーデルワイン オンラインショップのカード情報漏えい - Fox on Security
熊本ワインショップのカード情報漏えい - Fox on Security
※余談ですが、カード情報ではなかったものの、エノテカでも不正アクセスらしき事件が2019年11月に発生しています。エノテカにMagecartの足音を感じた - Fox on Security
今回被害を受けた世界のワイン葡萄屋のサイトを調べてみましたが、昨年、一昨年と利用ECサイトが集中的に攻撃を受け続けていると言っても過言ではない「EC-CUBE」利用が確認されました。
非常に分かりやすい証跡では、会員登録画面にある、この例示です。
あるいは、ソースにもそのまま名前が出てくる、CSRF-TOKENは3系以降の機能だったかと思いますので、3系(もしくは4系)だと思われます
EC-CUBEのクレジットを確認してみたのですが、明確には分かりませんでした(3系かなと思うのですが・・)
少し気になるのが、去年多く侵害を受けた2系ではないという事です。今年に入ってから2件目の3系(以上)の事件リリースとなるかと思いますので、攻撃者が集中的に狙っていた2系以外のバージョンにも脆弱点を探して攻撃してきている可能性を感じます。
EC-CUBEを利用しているECサイトの運営者は、攻撃者によって脆弱点が狙われている事を十分に理解し、以下の注意喚起などを参考に、2重3重にセキュリティ対策を考えるべきかと思います。
余談です。事件の公式発表では(個人的に)再発防止策に目を通す様にしています。そこには事件を引き起こした脆弱点が推測できる対策案が書かれている事もあるからなのですが、今回被害を受けたサイトでは、EC-CUBEを使わないという選択をした様です。
誠に勝手ながら2019年12月6日午後4時から閉鎖しておりました当該サイトにおきまして、二度とこのような事態を引き起こすことのないように、セキュリティ対策の観点から、当該サイトのプラットフォームでの再開を断念し、新しいプラットフォームで改修することと致しました。
(公式発表より引用)
侵害を受けた時期(2019年12月)から考えると、流石にEC-CUBE利用サイトが数多く侵害を受けている事を知っていたのかと思いますが、一定以上の対策を取っていても、対策の不備あるいは監視不備を突いてくる、そんな攻撃だったのかも知れません。
本日もご来訪ありがとうございました。
Thank you for your visit.
更新履歴