肉の御嵩屋オンラインSHOPからカード情報漏えいが発表されていました。
www2.uccard.co.jp
公式発表
(1)原因
弊社が運営する「肉の御嵩屋オンライン SHOP」のシステムの一部の脆弱性をついたことによる第三者の不正アクセス
(2)情報流出の可能性があるお客様
2019 年 11 月 9 日~2020 年 1 月 22 日の期間中に「肉の御嵩屋オンライン SHOP」においてクレジットカード決済をされたお客様
(3)流出した可能性のある情報
・クレジットカード番号
・有効期限
・カード名義
・セキュリティコード
(これら4つの情報を以下「カード情報」といいます)
(4)流出可能性があるカード情報の数
530 件
(公式発表より引用)
キタきつねの所感
本日久々のオフィス出勤日なのですが、リリースを見つけてしまったので、急ぎ調査しました。とは言え、すぐにEC-CUBEの証跡が確認できました。
リリース内容を見ると、2020年1月22日にカード会社がカード漏えいの疑いの連絡を受けている様です。つまり、年末に出された「経産省の異例の告知」、関連報道、イーシーキューブ社のリリースを肉の御嵩屋側は把握してなかったと推測されます。
www.meti.go.jp
事実関係を完全に把握してない第三者が言うのは失礼だとは承知の上で、敢えて書くなら、上記の状況を考えると、肉の御嵩屋は「情報感度が鈍すぎ」だと思います。
EC-CUBE構築サイト(特に2系)が被害を出し続けているのは、かなり前からです。
手元のデータでは、2017年頃からEC-CUBEサイトからのカード情報漏えい事件は増えていて、2018年~2019年は侵害事件の9割近くがEC-CUBE利用サイトからでした。
ECサイト運営事業者は、自社が何のECサイト構築パッケージを使っているかをきちんと把握し、最新パッチを適用していく事が必要です。それが出来ないのであれば、手痛い授業料を払う必要が出てくるリスクは高いのです。
尚、EC-CUBEの証跡は以下が確認できました。
余談となりますが、EC-CUBEの場合、コメントアウト部分が確認できると(特に2系は)大体のverが分かります。まず中段の所にある、 "either version 2"で2系が確定します。そしてCopyright部分の”2000-2013”で、2013年リリースのverである2.13が推定できます。
※ato okihika様から以下のご指摘を頂きました。
(ご指摘ありがとうございました&間違った表現で申し訳ありませんでした)
※EC-CUBE構築サイトからの侵害事件(発表)はほとんどが2系なので、2系を使っているECサイト事業者は、まずは2系の最新パッチを適用するべきですが、2系をそのまま使い続けるのは、あまりお勧めはできません。
私は3系以上にバージョンアップするか、それが難しいのであれば、別な決済スキームへの切り替えも含めて考えた方が良いかと思います。
以下の内容を確認する事も強くお勧めします。
www.ec-cube.net
更に余談です。事件リリースのPDFファイルをよく見るのですが、元ファイルをWordで作成している事が影響していると推測しますが、作成者の「お名前」らしきファイル名が残っていました。この手の「お名前」をリリースで見かける事が結構あります。
※PCFさん>ささいな所ですが個人情報でもある気がするので、是非ご指導を。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
- 2020年6月18日 AM(予約投稿)
- 2020年6月25日 間違い指摘を受けコメント追記
