世界最大のホテルチェーン、マリオット傘下のウェスティンホテル大阪がカード情報漏えいを発表と聞いて、またマリオットが大規模な攻撃を受けたのかと思ったのですが、どうやら大阪のオンラインショップだけが被害を受けた様です。
公式発表
侵害を受けた原因、影響範囲について公式発表では、以下の様に書かれています。
キタきつねの所感
要は「カード情報非保持」サイトに、不正なJavaScript(スキマー)を仕掛けられ、カード情報が窃取されたという、国内でよくある発表です。
しかし、ウェスティンホテル大阪でオンラインショッピングをされる顧客情報が流出したという事は、そのカード情報の価値は他のECサイトからの漏えいと比較して高いものと思われます。著名人が被害を受けていた可能性すら感じます。
※既に不正購入の被害が出ているのだとすれば、カード限度額が高い方が多いかと思いますので、総被害額が大きくなっているかと思います。
被害を受けたサイトを見てみます。
魚拓サイトではなく、現在のオンラインショップ(※閉鎖されていません)の会員登録画面を追っていき、利用規約を見ると・・・なにやら見覚えがあるURL構成です。
これで、ほぼEC-CUBE利用が特定できましたが、念のため証跡を探します。
ページソースを見ると、EC-CUBEの証跡は簡単に見つかりました。
このファイルを開くと、EC-CUBEファイルのコメントアウト(2000-2013)から、EC-CUBEのv2.13(又は2.12)を、不正侵害の時点で使っていた事が分かります。
ウェスティンホテルはハイクラスのホテルチェーンであり、オンラインショップとは言え、有償版のソフトではなくEC-CUBE(2系)を利用していた事には驚きです。
また、時系列で見る限り、約6年間、ウェスティンホテル大阪は「何もしなかった」事が分かります。
■EC-CUBEバージョンの推定表
リリース日 |
バージョン |
2007/12/4 |
EC-CUBEv2.0リリース |
2008/4/10 |
EC-CUBEv2.1リリース |
2008/10/1 |
EC-CUBEv2.3リリース |
2009/5/19 |
EC-CUBEv2.4リリース |
2011/3/23 |
EC-CUBEv2.11リリース |
2012/5/24 |
EC-CUBEv2.12リリース |
2013/9/19 |
EC-CUBEv2.13リリース ▲Westin利用バージョン(推定) |
2015/7/1 |
EC-CUBEv3リリース |
2018/10/11 |
EC-CUBEv4リリース |
2019/10/29 |
EC-CUBEv2.17リリース ▲Westinが侵害を受けた時期 |
2019/12/20 |
経産省注意喚起 |
2019/12/23 |
EC-CUBE注意喚起 |
せめて、昨年末の経産省の異例の注意喚起を受けてEC-CUBE(2系)に対する強化策を実施、あるいは他のフレームワークに移行していたとすれば、今回の被害範囲は半分程度に抑えられたのではないでしょうか。
2019年5月6日~2020年5月17日
(公式発表より引用)
魚拓サイトを調べてみると、2013年GW中にウェスティン大阪オンラインショップはリニューアルオープンした事が分かりますが、EC-CUBEの痕跡(コメントアウト)から考えると、この時点でEC-CUBEでサイト(v2.13又は2.12)を構築したものと推測されます。
※魚拓サイトにデータが無かったので推測となります。
やはりオンラインショップを作ってから、セキュリティ上の観点では放置状態だったものと思われます。
ウェスティンホテルですので、こうしたサイトは外注先に開発・運営させていたものと思いますが、ホテル側できちんと「何を使っているのか」(EC-CUBE)把握しておき、脆弱性管理をサードパーティ任せにしないで、自身でも把握できる体制を構築しておく事、それが出来てなかったのかと思います。
ウェスティンホテルは、国内には大阪以外にもありますが、ざっとググってみた所、大阪以外にはウェスティンホテル淡路がオンラインショップを持っています。こちらのスキームは、カラー三―ショップ(GMOペパボ株式会社)でしたので、EC-CUBE2系に比べると(過去に侵害事件もあって対策強化された事も含めて)安全なスキームだと思いますので、今の所問題は無いかと思います。
ウェスティンホテルは、個人的にも国内外でお世話になった事のあるホテルチェーンだけに、今回のインシデント発表の内容は少し残念でした。
※参考まで、昨年末の経産省の(異例の)注意喚起とEC-CUBEの告知を再掲します。
www.meti.go.jp
www.ec-cube.net
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴