新型コロナウィルスと同様に、カード情報漏えいも発表までの時差(潜伏期間)があるので、今年も去年同様に件数が増えるのかは分かりませんが、EC-CUBEサイトの攻撃は、まだ下火と判断するには早い様です。
www2.uccard.co.jp
公式発表(4/6)
(1)原因
弊財団が運営する「蔵王チーズオンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセス
(2)個人情報流出の可能性があるお客様
2019年4月25日~2019年12月4日の期間中に「蔵王チーズオンラインショップ」より誘導された偽決済フォームへクレジットカード決済情報を入力した可能性のあるお客様268名で、流出した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
(公式発表より引用)
キタきつねの所感
調べるとすぐにEC-CUBE利用サイトだった事が分かりました。2019年7月(※漏えい対象期間内)の魚拓を確認した所、EC-CUBE2系を利用していた証跡が出てきました。
会員登録ページでも、EC-CUBEらしいURL等の特徴が出ています。
今年に入っての、カード情報漏えい事件は12件目(※私の把握する限り)となります。内、EC-CUBEを利用していたと思われるサイトは9件(75%)です。累計の漏えい件数自体はあまり大きな漏えい事件が無いのでそんなに多くはありませんが(10,411件)、漏えいが発表されたインシデント件数は、去年と同様なペースで伸びています。
foxestar.hatenablog.com
気になるのは、もう1点あります。今回、不正被害を受けた蔵王チーズオンラインショップの、EC-CUBE証跡ファイルのコメントアウト部分(下、赤線部分)。
平たく言うと「結構古いバージョン」です。
EC-CUBEは2系最後と(当時)言われていたバージョン、v2.13がリリースされたのが2013年9月です。コピーライト部分を見ると「2012」となっています。
この事から考えると、蔵王チーズオンラインショップが使っていたのは、v2.12(2012年5月リリース)だと推測されます。
www.ec-cube.net
この推測が合っているのならば、ECサイト側は、少なくても7年以上EC-CUBEをアップデートしてない事になります。
2系のバージョン更新の最後と言われていたv2.13.5がリリースされたのが、2015年11月ですので、更新が再開されたv2.17(2019年10月リリース)まではアップデートされてなかったとしても、v2.13にはなっていてしかるべきです。(※更に言えばv3やv4に移行していてもおかしくはありません)
この事から考えると、蔵王チーズオンラインショップは、オープンソースのフレームワークを使う事についての意識があまりにも希薄だったと言えるのではないでしょうか。
繰り替えしになりますが、EC-CUBEの中でも特に2系は攻撃者に狙われています。
EC-CUBEを利用しているECサイトは、可能な限り最新版にする事もさる事ながら、不正アクセスを受ける可能性がある事を意識して、多層防御(出来ればWeb改ざん検知)を考慮すべきかと思います。併せて、以下のEC-CUBEの注意喚起をよく見て、必要に応じて他者に助言を求めるべきです。
www.ec-cube.net
本日もご来訪ありがとうございました。
Thank you for your visit.
更新履歴
