Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

道具屋さん本店もEC-CUBE

道具屋さん本店からカード情報漏えいが発表されていました。

www2.uccard.co.jp

 

公式発表

 

2.個人情報漏洩状況

(1)原因

弊社が運営する「道具屋さん本店」のシステムの一部の脆弱性をついたことによる第三者不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2019年9月10日~2020年2月5日の期間中に「道具屋さん本店」においてクレジットカード決済をされたお客様82名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(公式発表より引用)

 

キタきつねの所感

去年に比べて事件発表件数が減っているとは言え、EC-CUBE2系の被害は「今年に入っても」続いている様です。

まず・・・最初に気づいたのが、公式リリースにおける漏えい件数の不一致です。公式リリースは企業として(主に広報が)チェックして公開されるべきものだと思います。

些細な所ではありますが、きちんと社内レビューした上で出すべきではないでしょうか。

 

■リリース上段

  f:id:foxcafelate:20200701062020p:plain

■リリース詳細説明

  f:id:foxcafelate:20200701062123p:plain

少し横道に話がずれましたが、早速エース産業機器が運営する、道具屋さん本店(通販サイト)を調べてみます。

 

現在は閉鎖中の様です。

f:id:foxcafelate:20200701053707p:plain

 

これだと原因推測が出来ないので、魚拓サイトを使って以前のHPデータを確認してみた所、侵害を受けた時期(2019年9月10日~2020年2月5日)の魚拓は残ってなかったのですが、2019年5月の魚拓が残っていたので、こちらで確認していきます。

 

出てきたのがこちら。これでEC-CUBE利用が確定です。

(登録ページにはEC-CUBE2系の癖があります) 

f:id:foxcafelate:20200701054809p:plain

 

 

併せて、ソースコードの方も確認していきます。馴染みな・・・.jsパートが出てきます。

f:id:foxcafelate:20200701055043p:plain

 

 

site.jpを開くと、EC-CUBE痕跡が出てきました。

f:id:foxcafelate:20200701055114p:plain

 

EC-CUBEのバージョンは、年号から2系かなと当たりをつけて、Copyrightの年号を使って検索してみると、v2.12が2012年5月24日にリリースされていますので、「v2.12を使っていたと推測される」、と判断しました。

※”推測される”なのは、チェックしたのが侵害期間中の魚拓ではない為

 

この推測が正しければ、道具屋さん本店は8年近くバージョンアップをして来なかった事になります。恐らくこれが侵害事件を受けた原因だと思います。

※補足:ソフトウェアの最新化以外にもフォルダ設定ミスや削除すべきファイルを残している等、EC-CUBEサイトの侵害事件では様々な脆弱性がありますが、「バージョンアップ」を適切に行ってない事は、個社のセキュリティ意識の表れだと思いますので、当ブログのEC-CUBE関連記事では原因と表現する事が多いです。

 

 

漏えい件数は82件ですので、運営主体であるビジネス上の影響はたいした事は無い(リスク許容の範囲内)と、エース産業機器が考えていたのかも知れません。

 

しかしフォレンジック調査等、カード再発行等、対応コストもかかる訳ですので、2系の最新化(現在の2系の最新バージョンはv2.17)をしておくべきだったと思います。

 

更に言えば、昨年12月の経産省の異例の注意喚起、それを受けてのEC-CUBEの発表について、EC-CUBE2系を利用している全てのユーザは内容を確認すべきかと思います。

www.ec-cube.net

 

 

余談です。6月も終わり7月に入りましたので、今年前半(2020年1月~6月)のカード情報漏えいをカウントしてみると、以下の感じでした。

※手持ちデータでは、去年1-6月が19件、7-12月が33件です。

 

 カード漏えい件数:  16件

 総カード漏えい件数: 11,295件

 EC-CUBE率:     81% (13件/16件)

 平均侵害日数:    131日

 侵害から事件発表:  220日

 

※詳細については、(クレジットカード情報漏洩事件のまとめ(2020年上半期))でまとめてますので、併せて確認頂ければと思います。

※抜け落ちているカード漏えい事件の精査をまだしていませんので、もう少し上振れするかも知れません。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

道具箱のイラスト

 

更新履歴

  • 2020年7月1日 AM(予約投稿)