タピオカのブームは冬場なので流石に下火の様ですが、攻撃者側から見るとHOTなECサイトと見られているのかも知れません。業務用タピオカを販売しているECサイトがカード情報漏えいを発表していました。
scan.netsecurity.ne.jp
公式発表
(1)原因
弊社が運営する「タピオカエキスプレス」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)個人情報流出の可能性があるお客様
2019 年 9 月 17 日~2019 年 10 月 21 日の期間中に「タピオカエキスプレス」においてクレジットカード決済をされたお客様 623 名で、流出した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・セキュリティコード
・有効期限
・決済トークン
(公式発表より引用)
キタきつねの所感
公式発表を見ると、ほぼ1か月なので比較的カード情報漏えい期間が短い事が分かります。カード情報漏えい(のおそれ)を検知したのは、クレジットカード会社という事ですので、攻撃者が比較的早い段階から窃取したカード情報を不正利用し始めたので、クレジットカード会社の不正検知に引っかかったという事なのかと思います。
侵害期間(侵害日数)については、手持ちの集計ですが、2019年(52件)は平均486日、2020年(9件)は平均116日となっています。2019年は長期間に渡って侵害を受けていたECサイトがいくつもありましたので平均を押し上げてしまった部分もあるかと思いますが、2020年の平均侵害期間と比べても、今回のタピオカエキスプレスの侵害期間は短い事がわかるかと思います。
今回の事件を受けての公式発表を見ると、1つだけ普通の発表と違う所があります。それが「決済トークン」が漏えい対象に含まれている事です。ここ数年、国内カード情報漏えいの公式発表は一通り目を通してきていますが、決済トークンが漏えいしたと発表されたケースは無かった(あったとしても非常にレアケース)と思います。
トークン型(JavaScript型)は、カード情報非保持を実現する有効な対策として、日本国内の多くのECサイトで現在使われています。※カード情報非保持の推奨対策は他にもリンク型がありますが、大多数のECサイトはトークン型を採用しています。
※図は実行計画2019から引用
決済トークンが漏れた事による影響度(不正が出来るユースケース)は、トークンを使った非保持サービスの実装方法によって異なるので一概には言えませんが、高度なレベルでの中間者攻撃を仕掛ける事ができた可能性を感じます。
(以下想像を過分に含みます)
サイト改ざんによる不正決済ページの作り方によっては、ユーザ(購入者)にほぼ気づかれない形で、商品購入(カード決済)を正常終了させた様に見せられるかと思います。
トークンを窃取されると、トークンの有効期限、ワンタイム利用なのか等の実装方法によりますが、カード決済の不正利用だけでなく、商品の「配送先住所」まで事前に変更できた、そんな可能性もあるかも知れません。(※トークン生成を行うPSP等のサービスプロバイダーは、PCI DSS準拠だと思いますので、このパターンは無い気もしますが)
今回被害を受けたタピオカエキスプレスは、どこのECサイト構築パッケージを使っていたのかと調べてみたのですが、
魚拓サイトで去年8月のデータを調べてみると・・・またEC-CUBE(v2)でした。細かいバージョンまで分かりませんが、コピーライトが2012で開発元Lockonの頃という事から考えると、最新バージョン(2.17)ではなかった事が伺えます。2.12あたりでしょうか。
余談です。現在タピオカエキスプレスは、既に事件を受けて(ある程度の)再発防止対応をしており、その一環としてEC-CUBEから移転してFuture-shopを利用している様ですが、
ソースを見ていて、「wp-includes」が気になりました。どうやらWordPressをCMSとして併用している様ですが・・・この画面を出せてしまうのは(セキュリティ対策後であるなら尚更)問題な気がします。
本日もご来訪ありがとうございました。
Thank you for your visit.
更新履歴