ナカバヤシが運営する直販サイト「フエルモール」からのカード情報漏えいの発表が出ていました。初報を見落としていた様で、2報目の内容分析です。
scan.netsecurity.ne.jp
公式発表
キタきつねの所感
カード情報漏えい事件は専門(PCI DSS)に近いという事もあり、気を付けて見ているはずなのですが、4月の初報に気づいていませんでした。改めて公式発表2件を見たのですが、気になる差分を見つけました。
2.経緯
・4/10(金) サイトのデータ処理挙動に不審な点があり、サイトを閉鎖し調査しました結果、クレジット情報5件が流出した可能性があることが判明しました。
・SQLインジェクション攻撃であることを把握しました。
・不正ファイルによる処理プログラムの書き換えが行われた形跡がありました。
(4/13公式発表より引用)
初報(4/13)の自社調査の段階で「SQLインジェクション」の可能性が高い事を示唆しています。しかし第2報では表現が変わっています。
2.個人情報漏洩状況
(1) 原因
弊社が運営する「フエルモール」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2) クレジット情報を含む顧客情報漏洩の可能性があるお客様
2020年4月6日~2020年4月10日の期間中に「フエルモール」においてクレジットカード決済をされたお客様94名で、漏洩した可能性のある情報は以下のとおりです。
カード名義人名
クレジットカード番号
有効期限
セキュリティコード
(6/3公式発表より引用)
カード情報漏えい事件の発表でよく出てくる「システムの一部の脆弱性をついたことによる第三者の不正アクセス」に変わってます。詳しい侵害原因をぼかして発表するのは、フォレンジック調査会社の事故テンプレート表現に落ち着いたという事だと思いますが、初報のSQLインジェクションの表現から後退した印象です。
侵害を受けた「フエルモール」は現在閉鎖中ですが、
魚拓サイトを使って調べてみると、2019年11月のデータ(元更新は8月16日)までは遡れました。
※侵害を受けた2020年4月の段階でのサイト状況とは違う可能性もありますが、おそらく侵害を受けた当時のページ構成が残っていると推測されます。
このページにリンクされているJSのソースコードを見ていくと、何か馴染み深いコメントアウトが見つかりました。
EC-CUBE 2系ですが、気になったのはコピーライト(2000-2007)の部分です。
2.1のリリースが2008年4月だった事を考えると、少なくても去年の11月までは、2系の初期バージョン(2.0.X)をそのまま使っていたという事を示唆しています。
公式発表から引用しますが、侵害を受けたのは2020年4月です。
(2) クレジット情報を含む顧客情報漏洩の可能性があるお客様
2020年4月6日~2020年4月10日の期間中に「フエルモール」においてクレジットカード決済をされたお客様94名
(6/3公式発表より引用)
魚拓が取れておらず、去年11月からバージョンアップがされた可能性もありますが、2008年12月のページ構成でも、同じコメントアウトが確認できます。
去年や一昨年はEC-CUBE利用サイトからのカード情報漏えい事件が頻発していましたが、少なくても10年、ナカバヤシはEC-CUBEのバージョンアップをしてなかった事になります。
小さな事業者が営むECサイトであれば仕方が無い部分はあるかと思いますが、ナカバヤシは東証1部上場企業ですので、他にも脆弱点がないか再点検した方が良いのではないかと思います。
公式発表(第2報)では被害件数は94件ですが、(言葉が乱暴になりますが)この程度で済んで良かったのではないか、フエルモールに関しては、そう考えても良い状況だった気がします。
尚、初報にあったEC-CUBEでSQLインジェクションの可能性としては、例えば以下の様な外部プラグイン経由という可能性が考えられます。2016年の脆弱性発表ではありますが、2系初期バージョンを長期間利用し続けていた事を考えると、こうした脆弱性を突かれた可能性も十分考えられます。
www.leon-tec.co.jp
「SQLインジェクション」との発表から、第2報で「システムの一部の脆弱性」と表現が変わった理由、それはもしかすると、パッチ当てなどを含めて上場企業としてあまりに恥ずかしい原因が判明したから、案外そんな事なのかも知れません。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
