Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

hatsutoki ONLINE STOREもEC-CUBE

織物で有名な島田製織のオンラインストアからカード情報が漏えいした可能性があると報じられていました。

www2.uccard.co.jp

 

公式発表

  (WEB魚拓) 

 

2.個人情報流出状況

(1)原因

弊社が運営していた旧システムでのオンラインストア「hatsutoki ONLINE STORE」のシステムの一部の脆弱性をついたことによる第三者不正アクセス

(2)個人情報流出の可能性があるお客様

2018年12月25日~2020年1月22日の期間中に「hatsutoki ONLINE STORE」においてクレジットカード決済をされたお客様138名で、流出した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(公式発表より引用)

 

キタきつねの所感

今回の事件を受けて、被害を受けたオンラインショップを調べてみたのですが、(現在のサイトは)そんなに脆弱性がなさそうな印象でした。

しかし、公式発表をよく見てみると・・・システムの入れ替え中だった(=旧サイトがある)と書かれていました。

なお弊社では2020年1月22日にシステムの入れ替えを行っており、流出の懸念があったのは2020年1月22日まで利用していた旧システムのオンラインストアでした。調査の結果2020年1月22日から現在まで利用している新システムの環境は安全であることが確認されました。

(公式発表より引用)

 

因みに、現在のサイト(新サイト)はGMOがサービス提供をしているmakeshopの様です。

f:id:foxcafelate:20200713173653p:plain

 

過去のサイトを、いつもの様に魚拓サイトを使って探してみますと、公式発表で出ている侵害期間中(2018年12月25日~2020年1月22日)の、魚拓データ(2019/12/27)が見つかりました。

こちらを確認すると、旧サイトhttp://hatsutoki.com/shop/、新サイトhttps://shop.hatsutoki.com/)と、URL構成も少し違いました。

※事件と直接の関係は無いかも知れませんが、旧サイトがhttpなのも少し気になりました。

 

そしてHTMLのソースには、非常になじみが深いJS(呼び出し)が並んでいました。そのうちの1つを開いてみると・・・

f:id:foxcafelate:20200713174348p:plain

 

いつもの様に、EC-CUBEの痕跡が出てきました。

f:id:foxcafelate:20200713174454p:plain

 

コピーライトの「Copyright(c) 2000-2013」から、EC-CUBEの3系リリースは2016年7月という事で、2系が確定し、2013年9月にv2.13がリリースされている事から、v2.13となります。

 

 

今回のインシデントを時系列で見てみると、何度かECサイト側で被害を軽減できた可能性があるタイミングがある事が分かります。

 

日時 出来事
2013/9/19 EC-CUBEv2.13リリース
2015/7/1 EC-CUBEv3リリース
2018/10/11 EC-CUBEv4リリース

2018/12/25~

2020/1/22

クレジットカード決済をしたお客138名の情報が流出した可能性
2019/10/31 EC-CUBEv2.17リリース
2019/12/20 経産省注意喚起
2019/12/23 EC-CUBE注意喚起
2020/1/22 システムの入れ替え(EC-CUBE→Makeshop)
2020/2/25 一部のクレジットカード会社からカード情報流出懸念
2020/2/26 カード決済を停止
2020/4/14 調査機関による調査完了
2020/7/13 事件を公表

 

v3とv4は移行インパクトを考えてスキップした事も考えられますので、まずはv2.17でしょうか。ここでアップデートをかけていれば、もしかすると侵害、あるいは侵害に繋がった脆弱性に気づけた可能性があるかと思います。

 

hatsutoki ONLINE STOREは1月にシステム入れ替えをしていますが、新サイトに移行する前に、12月の注意喚起を受けてセキュリティを強化できた可能性があるかと思います。

 

EC-CUBEサイト(特に2系)は、未だに狙われている。改めてその事をECサイトあるいは、ECサイトの運営を請け負っている会社は認識すべきだと思います。

 

 

※昨年末の経産省の(異例の)注意喚起とEC-CUBEの告知を再掲します。

www.meti.go.jp

www.ec-cube.net

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

反物のイラスト

 

更新履歴

  • 2020年7月13日 PM(予約投稿)