Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

マグファインもEC-CUBE

クレジットカード情報漏えい事件 不正アクセス事件 調べてみた。

磁石販売の通販を怒っているマグファインがカード情報漏えいを発表していました。

www2.uccard.co.jp

 

公式発表

 

キタきつねの所感

久しぶりの国内カード情報漏えい事件な気がします。結論を先に書いてしまうと、EC-CUBE2.13だと推測されます。

 

ここ数年、事件リリースを数多く見てきていますが、公式発表に「EC-CUBE」と明記されているのは初めて見たかも知れません。

このたび、弊社が運営する「株式会社マグファインオンラインショップ」のEC-CUBEシステム一部バージョンの脆弱性をついたことにより第三者不正アクセスし、クレジットカード決済を選択されたお客様が偽の決済画面へ誘導され、そこで入力されたクレジットカード情報が流出し、一部のお客様のクレジットカード情報が流出した可能性があることが判明いたしました。

(公式発表より引用)

 

不正アクセスの中身を見ていくと、EC-CUBEの決済周辺ページが侵害され、登録ユーザをフィッシングサイトに誘導してカード情報を窃取する攻撃だった事が分かりますが、気になったのが事件の時系列です。

 

1.経緯
2019年1月25日、決済代行会社を通し、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の流出懸念について連絡を受け、同日、弊社が運営する「株式会社マグファインオンラインショップ」でのカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2019年4月26日、調査機関による調査が完了

(中略)

(2)個人情報流出の可能性があるお客様
2018年10月5日~2018年11月8日の期間中に「株式会社マグファインオンラインショップ」
においてクレジットカード決済をされたお客様(178件)で、流出した可能性のある情報は
以下のとおりです。
・クレジットカード番号
・有効期限
・セキュリティコード

(公式発表より引用)

 

まず侵害された時期が「2018年」です。決済代行会社からカード情報懸念の連絡を受けたのが「2019年1月」で、フォレンジック調査が完了したのが「2019年4月」という事ですので、1年以上前には対外的に公表出来た事件が、この時期に発表されている事になります。

 

その理由について公式発表では、以下の様に書かれています。

4.公表が遅れた経緯について
2019年1月25日の流出懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、三者調査機関の調査実施、及び決済代行会社、クレジットカード会社との協議が調ってからとしたため表が遅くなってしまいました。が、これ以上公表が遅延することはお客様に対して誠実さを欠く行為であり、かつ、被害拡大する恐れも
ございましたので、公表致しました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

(公式発表より引用)

 

発表が「遅すぎる」気がしますが、”関係者協議に1年以上かかる”、何か伺い知る事ができない理由があったのかも知れません。

 

尚、現在のサイトを見てみたのですが、会員サイトは動作している様です。

f:id:foxcafelate:20200519123320p:plain

 

公式発表にEC-CUBEと書かれてはいますが、ver確認の為に痕跡を調べてみました。

 

「2.13」以降だと推定されます。※2.13は2013年9月19日リリース

f:id:foxcafelate:20200519123631p:plain

 

余談です。4月以降(コロナ禍での在宅勤務体制になってから)カード情報漏えい事件の発表は非常に少なくなっています。本当に漏えい事件が減っているのなら良いのですが。

 

去年の事件データで考えると、この時期に発表されるのは、半年以上前のカード情報漏えい事件である事が高いので、コロナ禍とカード情報漏えい事件の減少とは、直接は関係がないと思います。

ではどうしてカード情報漏えい発表が少ないのか?と考えてみると、発表時期をコントロールしているカード会社、決済代行会社等の担当者がコロナ禍に巻き込まれていて、事件発表の優先順位が下がっている、そんな可能性を感じます。

 

とは言え、巣ごもりによってECサイト(通販市場)が活発になっている事を考えると、カード情報を狙った攻撃は現在進行形で行われていると考えるのが自然であり、EC-CUBEを始めとする、よく使われているフレームワークは、セキュリティ設定や、最新パッチ当てに十分に留意した方が良いかと思います。

 

イーシーキューブは2系ユーザを(当面の)対象としたWAFサービスを開始した様です。有償ではありますが、こうした追加対策を、特に2系ユーザは検討すべきかと思います。

www.security-next.com

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

U字の磁石のイラスト

 

更新履歴

  • 2020年5月18日 AM(予約投稿)