ミラノを拠点とする人気ブランド「タトラス」等を取り扱うセレクトショップのタトラス&ストラダエスタの旧ECサイトからカード情報が漏えいしたと公表されていました。
www2.uccard.co.jp
このたび、TATRAS INTERNATIONAL株式会社より、同社旧ECサイト「strada-est」において、お客様のクレジットカード情報が外部に漏えいした可能性がある、との公表がございました。現在、弊社発行のカードにつきまして、本件に起因する不審な売上の有無を確認中でございます。
(UCカード発表内容より引用)
公式発表
キタきつねの所感
カード情報漏えいが、カード会社から発表されて、ECサイト側が受けのリリース記事を出してないのは珍しいケースです。(追って出すのかと思いますが・・・)
影響を受けた顧客の数が不明ですので、実はたいした事が無い事件なのかも知れませんが、2011に東京青山でオープンし、ミラノ、東京ミッドタウン日比谷、大阪等、多数店舗を持つ人気セレクトショップである事を考えると、ECサイトの被害範囲が一定規模以上だった可能性を感じます。
公式リリースが出ておらず、報道記事も(この記事を書いている7/21時点で)出てない様ですので、 現在までに判明している情報で調査をしてみます。
まずは旧サイトと書かれていたので、現在のサイト「TATRUA CONCEPT STORE」では無いドメインを探した所、strada-est.comというサイトが見つかりました。このサイト名を入力すると現在のサイトに転送されるので、こちらが旧サイトで間違いないかと思います。
次にこのサイトの魚拓を辿っていきます。2008年頃から魚拓データが確認できますが、サイト情報が確認できるデータとして2019年7月4日の魚拓を見てみると、
個人的に非常に馴染みがある、EC-CUBEの痕跡が出てきました。
しかも、v2.13に特有なコメントアウトである、
<!-- #2342 次期メジャーバージョン(2.14)にてeccube.legacy.jsは削除予定.モジュール、プラグインの互換性を考慮して2.13では残します. -->
が残っていました。
まだカード情報の侵害を受けた時期が発表されていませんので断定はできませんが、被害を受けた当時、EC-CUBE(2系)を利用していた可能性が高いかと思います。
念のため「ecucbe.js」を開いてみると、Copyrightが2000-2014となっていました。
EC-CUBEのリリース情報を見ると、2014年は「v2.13.2」と「v2.13.3」が該当しますのでどちらかのバージョン(のまま)を使っている期間に、侵害を受けたのかと推測されます。
残念ながら2系サイトからのカード情報漏えい事件は続いています。自社のサイトも危ないかも知れない、その観点でセキュリティを再チェックすべきECサイトはまだまだ多いのではないでしょうか。
余談ですが、旧サイト(http://strada-est.com/)がhttpsでない部分が少し気になりました。魚拓サイトでは詳細チェックが出来ないのですが、会員登録ページ(http://strada-est.com/entry/kiyaku.php)もhttpsでした。
事件には直接関係は無いかもしれませんが、こうした部分もハッカーが外部から脆弱性を探す手掛かりにもなるかと思いますので、他ECサイト運営者も留意すべきかもしれません。
※尚、現在のサイトは(https://www.tatrasinternational.com/)となっています。
※昨年末の経産省の(異例の)注意喚起とEC-CUBEの告知を再掲します。
www.meti.go.jp
www.ec-cube.net
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴