チェンソーや芝刈り機など林業用機械等の通販を行うサイトからカード情報が漏えいしたと発表されていました。
www2.uccard.co.jp
2.情報流出状況
(1)原因
弊社が運営する「ENGINE - 円陣-」のシステムの一部の脆弱性をついたことによる第三者の不正アクセス
(2)情報流出の可能性があるお客様
2019年10月13日~2019年12月19日の期間中に「ENGINE - 円陣-」においてクレジットカード決済をされたお客様
(3)流出した可能性のある情報
・クレジットカード番号
・有効期限
・セキュリティコード
・カード名義
(これら4つの情報を以下「カード情報」といいます)
(4)流出可能性があるカード情報の数
932件
(公式発表より引用)
公式発表
(Web魚拓)
キタきつねの所感
カード情報漏えい事件は昨年程のペースでは無い気がしますが、定期的に侵害報告が続いています。
侵害を受けたサイトを見てみると、カード決済は停止されていましたが、銀行振込や代金引換はそのまま継続して利用可能な状態でした。
早速これを調査してみると、EC-CUBEの痕跡が確認できました。
※登録ページは2系の癖が良く出やすく、この画面が出た時点で2系利用が分かります。
念のため、ソースコードの方も確認していきます。
いつもの様に、EC-CUBE痕跡が確認できました。バージョン推定の為に、コピーライト部分を見てみると「2000-2011」となっています。
毎回書くのが面倒になってきたので、2系リリース日をまとめたものを作って見比べてみると、
■EC-CUBEバージョンの推定
リリース日 |
バージョン |
2007/12/4 |
EC-CUBEv2.0リリース |
2008/4/10 |
EC-CUBEv2.1リリース |
2008/10/1 |
EC-CUBEv2.3リリース |
2009/5/19 |
EC-CUBEv2.4リリース |
2011/3/23 |
EC-CUBEv2.11リリース |
2012/5/24 |
EC-CUBEv2.12リリース |
2013/9/19 |
EC-CUBEv2.13リリース |
2015/7/1 |
EC-CUBEv3リリース |
2018/10/11 |
EC-CUBEv4リリース |
2019/10/29 |
EC-CUBEv2.17リリース |
2011年のCopyright表記からv2.11を利用していたと推定されます。
つまり「ENGINE - 円陣-」は約9年間バージョンアップをしなかった、可能性が高いのです。
■事件内容の時系列
日時 |
出来事 |
2019/10/13~2019/12/19 |
クレジットカード決済をしたお客932名の情報が流出した可能性 |
2019/12/20 |
経産省注意喚起 |
2019/12/23 |
EC-CUBE注意喚起 |
2020/1/21 |
一部のクレジットカード会社からカード情報流出懸念 |
|
カード決済を停止 |
2020/3/25 |
調査機関による調査完了 |
2020/6/1 |
個人情報保護委員会、所轄警察署へ報告 |
2020/7/17 |
事件を公表 |
しかし侵害時期の時系列から考えると攻撃者のカード情報窃取(攻撃)は、昨年末の経産省の注意喚起前に終わっていますので、「ENGINE - 円陣-」側が攻撃者の侵害に気づけたチャンスが仮にあったとすれば、(EC-CUBE社の何度かの注意喚起を見逃していたとすると)EC-CUBE v2.17リリースのタイミングだったかも知れません。
この時点で、EC-CUBEのバージョン更新を行っていれば、軽微な被害で済んだ可能性を感じました。
※昨年末の経産省の(異例の)注意喚起とEC-CUBEの告知を再掲します。
www.meti.go.jp
www.ec-cube.net
余談となりますが、現時点でサイトが閉鎖されてない事から、(既に対策済とは思いますが)個人情報が漏えいするリスクが残存している可能性があります。他のECサイト構築のフレームワークに移行するか、現時点でのEC-CUBE2系最新版である、v2.17への移行が強く推奨されます。
同じ事しか最近書いてない気がしますが、特にEC-CUBE2系ユーザは、ハッカーにここ数年「狙われています」ので、上記注意喚起を良く見る事を強くお勧めいたします。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴