Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

恋する豚研究所もEC-CUBE

豚肉製品などを通販している、恋する豚研究所からカード情報漏えいが発表されました。今年に入って6件目のEC-CUBE利用サイトからのカード情報漏えい(キタきつね調べ)が発生しています。www.security-next.com


公式発表

 

 (1)原因
 弊社が運営する「恋する豚研究所・ネットストア」のシステムの一部の脆弱性をついたことによる第三者不正アクセス
(2)個人情報流出の可能性があるお客様
 2018年12月9日~2019年5月8日の期間中に「恋する豚研究所・ネットストア」においてクレジットカード決済をされたお客様286名で、流出した可能性のある情報は以下の通りです。
 ・カード名義人名
 ・クレジットカード番号
 ・有効期限
 ・セキュリティコード

(公式発表より引用)

 

キタきつねの所感

恋する豚研究所は、去年7月にカード決済を停止しているサイトを調べた際に、検出していましたので、他のサイトからの情報漏えい発表とは違って「既視感」がありました。

foxestar.hatenablog.com

 

既にこの際にEC-CUBE利用を確認していましたので、やはり漏えい被害を受けていたのか・・と感慨深いものがあります。

f:id:foxcafelate:20200229065948p:plain

 

改めて見てみると、現在ネットショップは閉鎖されていますが、去年5月の魚拓データを見ると、EC-CUBE利用の証跡が確認できました。

 

f:id:foxcafelate:20200229071006p:plain

 

緑のコメントアウトにも書かれているのですが、「eccube.legacy.js」がありますので、2.13バージョンである事が分かります。侵害を受けた2019年5月時点では2.17が出ていますので、EC-CUBEの最新化がされてなかった事は間違いない様です。

 

今年前半の統計を見ると、またじわじわとEC-CUBE利用サイトが発表が増えている印象です。現在発表される事件は半年程度前の侵害が多いので、去年末の注意喚起などを受けて、EC-CUBE利用サイトからの情報漏えい事件発表が減少するには、まだ暫くかかるかも知れません。

foxestar.hatenablog.com

 

余談です。当時2系最後のバージョンと言われた2.13を利用したEC-CUBEサイトからのデータ侵害事件は去年、一昨年は非常に多かった印象があります。2.17に最新化をしてなかったのはECサイト側に問題があると思いますが、2系の更新は暫く止まっていた時期もありますので、3系以降への移転を諦めて放置していたECサイトが多い気がします

つまり2.13から、3系や4件に当時移行しなかったユーザが多かった事を示唆していると思うのです。これは、3系以降に移行する際に、あまり互換性が無かった事が影響している気がします。(※移行には大幅な改修が必要と言われています)

オープンソースのソフトにそこまで求めるのは酷な気もしますが、2系からの互換性がもっと取れていたら、今とは違った状況になっていたのではないでしょうか。

 

 

イーシーキューブ社注意喚起

 

 

本日もご来訪ありがとうございました。

Thank you for your visit.

 

 豚に真珠のイラスト

 

更新履歴

  • 2020年2月28日 PM(予約投稿)