老舗のまくら専門店からカード情報漏えいが発表されていました。
公式発表
2.個人情報流出状況
(1)原因
弊社が運営する「キタムラジャパンオンラインストア」のシステムの一部の脆弱性をついたことによる第三者の不正アクセス
(2)個人情報流出の可能性があるお客様
1)クレジットカード情報
2019 年10 月25 日から2020 年1 月7 日の期間中に「キタムラジャパンオンラインストア」においてクレジットカード決済をされたお客様44 名で、流出した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
上記に該当する44 名のお客様については、別途、電子メールおよび書状にて個別にご連絡申し上げます。2)クレジットカード情報以外の情報
過去に「キタムラジャパンオンラインストア」に登録を頂いたお客様情報で、2019年10 月25 日から2020 年5 月22 日の期間中に流出した可能性のある情報は以下のとおりです。
・氏名( 5,589 件)
・住所( 5,589 件)
・性別( 5,402 件)
・生年月日( 3,228 件)
・電話番号( 5,589 件)
・FAX 番号( 301 件)
・メールアドレス( 5,418 件)上記情報については、保管されていた弊社サーバ上に、悪意者がアクセス可能な状況であったことから盗取されうる状態にありましたが、現実に盗取されたか否かはアクセスログ等が残っておらず、専門家の調査の結果からも不明な状況です。今後、被害申告等から現実に流出の事実を把握した場合には、速やかに公表させていただきます。
(公式発表より引用)
キタきつねの所感
現在のオンラインストアは楽天店舗のリンクに変わっていますが、魚拓サイトで調べてみると、昨年12月の段階では別サイト(https://ohayo-kitamura.com/)で運営していた事がわかります。
こちらのトップ画面のソースを見ると、馴染みのJavaScriptの呼び出しをかけている事が分かります。
この内の1つを開いてみると・・・当たりです。EC-CUBE(v2)である事が判明しました。
リリースのコピーライト「2000-2011」から、v2.11であった事が分かります。侵害を受けたのが2019年と考えると、8年以上バージョンアップをしてなかったと考えられます。
| リリース日 | バージョン |
| 2007/12/4 | EC-CUBEv2.0リリース |
| 2008/4/10 | EC-CUBEv2.1リリース |
| 2008/10/1 | EC-CUBEv2.3リリース |
| 2009/5/19 | EC-CUBEv2.4リリース |
| 2011/3/23 | EC-CUBEv2.11リリース |
| 2012/5/24 | EC-CUBEv2.12リリース |
| 2013/9/19 | EC-CUBEv2.13リリース |
| 2015/7/1 | EC-CUBEv3リリース |
| 2018/10/11 | EC-CUBEv4リリース |
| 2019/10/29 | EC-CUBEv2.17リリース |
公式リリースから元に、今回の事件の時系列をまとめてみると、興味深い点が出てきます。
| 日時 | 出来事 |
| 2019/10/25~2020/1/7 | クレジットカード決済をした44名の情報が流出した可能性 |
| 2019/10/25~2020/5/22 | 過去にオンラインストア利用登録をした最大5589件の個人情報が不正閲覧された可能性 |
| 2019/12/20 | 経産省注意喚起 |
| 2019/12/23 | EC-CUBE注意喚起 |
| 2020/1/7 | サイトの脆弱性調査(不正アクセスの可能性判明) |
| 2020/1/8 | カード利用停止 |
| 新しいサイトの立ち上げ準備 | |
| 2020/5/14 | 一部のクレジットカード会社からカード情報流出懸念 |
| オンラインストアの利用を停止 | |
| 2020/6/15 | 調査機関による調査完了 |
| 2020/6/26 | 所轄警察署へ報告 |
| 2020/7/10 | 個人情報保護委員会へ報告 |
| 2020/7/30 | 事件を公表 |
まず、年末の注意喚起を受けて、サイト運営側がEC-CUBE社の提供する「無償の脆弱性診断」を受けた事が伺える事です。カード情報漏えいの発表を数多く見ていますが、「脆弱性診断の実施」が書かれていたのは初めて見た気がします。
※過去の事件リリースの発表タイミングを見る限り、侵害を把握してから事件発表まで半年近くかかる事が多いので、今後出てくるカード情報漏えいの発表では同様な記載が増えてくるかも知れません。
しかし、残念な事に、1/7の脆弱性診断の結果で不正アクセスが確認されているにも関わらず、詳細調査(フォレンジック調査)に進んでいません。この判断に至ったのが、脆弱性診断を行った会社の助言なのか、ECサイト側なのか分かりませんが、「不正アクセスがあったけど、流出の危険性は無かった」と判断した根拠が問われるべきかと思います。
2020年1月7日、サイトの脆弱性についての調査を行ったところ、不正アクセスが行われた可能性があることが判明いたしました。この時点で情報漏洩は確認されず、流出の現実的危険性までは認められませんでした
(公式発表より引用)
新サイト移行の判断により、カード決済は止めているので結果は変わらなかったかも知れませんが、1月7日時点でフォレンジック調査に進んでいれば、影響範囲が小さくなった可能性を感じます。
また、魚拓サイトで1/22のサイト状況を確認してみたのですが、残念ながらEC-CUBEのバージョン(2000-2011)が変わっていませんでした。サイト運営側はv2.11からv2.17に更新できたかと思いますが、カード決済を止めただけで有効な対策を打たなかった可能性を感じます。
もう1点、今回はカード情報漏えいの件数は44件と少ないのですが、顧客情報漏えいの最大対象範囲が5000件を超えています。まくらのキタムラは、魚拓サイトで確認すると2011年からオンラインストアを立ち上げている様です。
5000件を超える顧客データは、購入客の累積データなのかと推測します。EC-CUBEでは顧客管理機能も充実しており、リピーター対策などで、過去のデータを使っていたのかと思いますが、仮に顧客データの漏えいがEC-CUBEのDBから漏えいしたものであるのだとすれば、本当に全顧客の購入履歴データをDBに保存しておく必要があったのか?検討の余地があったかも知れません。
※因みに、上記が想像できる侵害の可能性としては管理者権限が奪取(設定ミスか管理者パスワードの脆弱性)された事による不正閲覧です。
参考:v2.11
※昨年末の経産省の(異例の)注意喚起とEC-CUBEの告知を再掲します。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
- 2020年7月28日 AM