Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ウェスティンホテル大阪オンラインショップもEC-CUBE

調べてみた。 不正アクセス事件 クレジットカード情報漏えい事件

世界最大のホテルチェーン、マリオット傘下のウェスティンホテル大阪がカード情報漏えいを発表と聞いて、またマリオットが大規模な攻撃を受けたのかと思ったのですが、どうやら大阪のオンラインショップだけが被害を受けた様です。

f:id:foxcafelate:20200831192027p:plain

 

公式発表

 

 

侵害を受けた原因、影響範囲について公式発表では、以下の様に書かれています。

f:id:foxcafelate:20200831193046p:plain 

 

キタきつねの所感

要は「カード情報非保持」サイトに、不正なJavaScript(スキマー)を仕掛けられ、カード情報が窃取されたという、国内でよくある発表です。

しかし、ウェスティンホテル大阪でオンラインショッピングをされる顧客情報が流出したという事は、そのカード情報の価値は他のECサイトからの漏えいと比較して高いものと思われます。著名人が被害を受けていた可能性すら感じます。

※既に不正購入の被害が出ているのだとすれば、カード限度額が高い方が多いかと思いますので、総被害額が大きくなっているかと思います。

 

被害を受けたサイトを見てみます。

 

魚拓サイトではなく、現在のオンラインショップ(※閉鎖されていません)の会員登録画面を追っていき、利用規約を見ると・・・なにやら見覚えがあるURL構成です。

 

f:id:foxcafelate:20200831192503p:plain

 

これで、ほぼEC-CUBE利用が特定できましたが、念のため証跡を探します。

 

ページソースを見ると、EC-CUBEの証跡は簡単に見つかりました。

 

f:id:foxcafelate:20200831192735p:plain

 

このファイルを開くと、EC-CUBEファイルコメントアウト(2000-2013から、EC-CUBEv2.13(又は2.12)を、不正侵害の時点で使っていた事が分かります。

 

f:id:foxcafelate:20200831192813p:plain

 

ウェスティンホテルはハイクラスのホテルチェーンであり、オンラインショップとは言え、有償版のソフトではなくEC-CUBE(2系)を利用していた事には驚きです。

また、時系列で見る限り、約6年間、ウェスティンホテル大阪は「何もしなかった」事が分かります。

 

 

EC-CUBEバージョンの推定表

リリース日 バージョン
2007/12/4 EC-CUBEv2.0リリース
2008/4/10 EC-CUBEv2.1リリース
2008/10/1 EC-CUBEv2.3リリース
2009/5/19 EC-CUBEv2.4リリース
2011/3/23 EC-CUBEv2.11リリース
2012/5/24 EC-CUBEv2.12リリース
2013/9/19 EC-CUBEv2.13リリース ▲Westin利用バージョン(推定)
2015/7/1 EC-CUBEv3リリース
2018/10/11 EC-CUBEv4リリース
2019/10/29 EC-CUBEv2.17リリース ▲Westinが侵害を受けた時期
2019/12/20 経産省注意喚起
2019/12/23  EC-CUBE注意喚起

 

せめて、昨年末の経産省の異例の注意喚起を受けてEC-CUBE(2系)に対する強化策を実施、あるいは他のフレームワークに移行していたとすれば、今回の被害範囲は半分程度に抑えられたのではないでしょうか。

2019年5月6日~2020年5月17日

(公式発表より引用)

 

魚拓サイトを調べてみると、2013年GW中ウェスティン大阪オンラインショップはリニューアルオープンした事が分かりますが、EC-CUBEの痕跡(コメントアウト)から考えると、この時点でEC-CUBEでサイト(v2.13又は2.12)を構築したものと推測されます。

※魚拓サイトにデータが無かったので推測となります。f:id:foxcafelate:20200831194306p:plain

 

やはりオンラインショップを作ってから、セキュリティ上の観点では放置状態だったものと思われます。

ウェスティンホテルですので、こうしたサイトは外注先に開発・運営させていたものと思いますが、ホテル側できちんと「何を使っているのか」(EC-CUBE)把握しておき、脆弱性管理をサードパーティ任せにしないで、自身でも把握できる体制を構築しておく事、それが出来てなかったのかと思います。

 

ウェスティンホテルは、国内には大阪以外にもありますが、ざっとググってみた所、大阪以外にはウェスティンホテル淡路がオンラインショップを持っています。こちらのスキームは、カラー三―ショップ(GMOペパボ株式会社)でしたので、EC-CUBE2系に比べると(過去に侵害事件もあって対策強化された事も含めて)安全なスキームだと思いますので、今の所問題は無いかと思います。

 

ウェスティンホテルは、個人的にも国内外でお世話になった事のあるホテルチェーンだけに、今回のインシデント発表の内容は少し残念でした。

 

 

※参考まで、昨年末の経産省の(異例の)注意喚起とEC-CUBEの告知を再掲します。

www.meti.go.jp

www.ec-cube.net

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 高層ホテルのイラスト

 

更新履歴

  • 2020年9月1日 AM(予約投稿)