IT資格試験セミナーや関連書籍でお世話になった方も多いかと思う、アイテックのECサイトが不正アクセスを受けて、個人情報を漏えいしたと発表していました。
s.netsecurity.ne.jp
株式会社アイテックは8月19日、同社が運営する通信教育、セミナー、書籍、模擬試験の販売をするオンラインECサイト「アイテックストア」に不正アクセスがあり顧客情報が流出した可能性が判明したと発表した。
これは8月18日に、「アイテックストア」にて8月14日に海外のIPアドレスから複数回の不正アクセスがあったことを確認し顧客情報流出の可能性が判明したというもの。
流出した可能性があるのは、2016年6月13日から2020年8月14日までの期間に「アイテックストア」を利用した顧客のアイテックID、氏名、氏名(カナ)、郵便番号、住所、メールアドレス、電話番号、購入商品、購入金額、支払方法を含む購入情報。一部顧客については、生年月日、性別、FAX番号、携帯電話番号、勤務先の情報が含まれている場合がある。なお、パスワードやクレジットカード情報の流出の可能性は無く、現時点で購入情報の不正利用は確認されていない。
(ScanNetSecurity記事より引用)
公式発表
キタきつねの所感
公式発表を見て最初に気づいたのは、事件発表で具体的な漏えい件数が発表されてない事です。
しかし、4年分も購入ログを残しておいた事から考えると、結構な人数が影響を受けた気がします。一部の方は会社名まで漏えいしたとあり、セキュリティ関係(を志す)方の個人情報が多数漏えいした事を考えると、こうした情報が別な形で悪用されてしまうのを懸念します。
これは、広報戦略としてそうしたのかと思いますが、公式発表が新たな事実が出なければ最終報となる感じで書かれていますので、不安に思ったユーザーからの問い合わせで、窓口はかなり混雑するのではないでしょうか。
<本件に関するお問合せ先>
アイテック サービスデスクお問合せ窓口
URL:https://www.itec.co.jp/contact
電話:03-6824-9001 (土日祝日を除く 10:00 ~ 16:00)
(公式発表から引用)
また、海外IPからの不正アクセスの詳細については、海外IPなのでパスワードリスト攻撃かと思いましたが、「複数回」と回数が少ない事が明示されていますので、設定ミスやSQLインジェクション、あるいは管理者アクセス経由で情報が漏えいしたのかなと推測します。
1.経緯
2020年8月18日(火)「アイテックストア」において、2020年8月14日(金)に海外のIPアドレスより複数回の不正アクセスを受けていたことを確認しました。また、同日中に同様の不正アクセスを遮断する措置を講じました。
(公式発表から引用)
しかし、気になったのはそれだけではありません。
今回被害を受けたアイテックストアを調べてみると、、、
※注:魚拓サイトでは無く8/22時点の現サイトです
そうですか。EC-CUBEですか。
バージョンは・・・なるほど。コメントアウトからv2.13ですね。
一応JSファイルも開いてみて、EC-CUBE証跡を確認しました。コピーライト(2000-2014)からもv2.13を利用していた事が分かります。
と言う事は、アイテックストアは
「約7年間v2.13のままで、他バージョンへは移行せず、2系最新バージョンv2.17もスルーして、不正アクセスを受けた」
という事になるのかと思います。
ITセキュリティ関係の書籍を多数販売し、IT資格セミナーの中では講師の方が「最新パッチを当てる」事を当然指導されていたと思うのですが、自身では実行してなかった(であろう)のは如何なものかと思います。
参考
| リリース日 |
バージョン |
| 2007/12/4 |
EC-CUBEv2.0リリース |
| 2008/4/10 |
EC-CUBEv2.1リリース |
| 2008/10/1 |
EC-CUBEv2.3リリース |
| 2009/5/19 |
EC-CUBEv2.4リリース |
| 2011/3/23 |
EC-CUBEv2.11リリース |
| 2012/5/24 |
EC-CUBEv2.12リリース |
| 2013/9/19 |
EC-CUBEv2.13リリース |
| 2015/7/1 |
EC-CUBEv3リリース |
| 2018/10/11 |
EC-CUBEv4リリース |
| 2019/10/29 |
EC-CUBEv2.17リリース |
余談です。今回の公式発表では、「クレジットカード情報の漏えいの可能性はありません」と断言しています。
尚、パスワードやクレジットカード情報の流出の可能性はありません。
(公式発表より引用)
ですので、きちんと調査された上でカード情報が無いと判断されたのかと思いますが、少し気になるのが、アイテックストアが不正アクセスを8/18に確認(検知)している事です。
1.経緯
2020年8月18日(火)「アイテックストア」において、2020年8月14日(金)に海外のIPアドレスより複数回の不正アクセスを受けていたことを確認しました。また、同日中に同様の不正アクセスを遮断する措置を講じました。
(公式発表より引用)
事件発表が8/19(翌日)となる訳ですが、当然この短期間では外部のフォレンジック調査会社による詳細調査は不可能です。
カード決済に関しては決済代行会社等に寄せてカード情報非保持になっていたものと思いますが、「カード情報に影響なかった」のが、きちんと調査をした結果なのか・・・少し心配です。
※カード情報非保持だから大丈夫・・とカード漏えいのリスクを最初から除外して調査をする事は、特にEC-CUBE2系ユーザーの場合は危険かと思います。
ここ数年、カード情報を狙ってEC-CUBE2系が攻められ続けていますので、後からカード情報漏えいが発生しましたと言う、ある意味恥ずかしい発表がアイテックから出ない事を祈りたいと思います。
※昨年末の経産省の(異例の)注意喚起とEC-CUBEの告知を再掲します。
www.meti.go.jp
www.ec-cube.net
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴