浅草安立屋もEC-CUBE - Fox on Security

犬猫用品を取り扱う浅草安立屋からカード情報漏えいの発表が出ていました。

f:id:foxcafelate:20200905043527p:plain

f:id:foxcafelate:20200905043820p:plain

浅草仲見世のお店からの漏えい発表です。1年間スキマーが仕掛けられて57件ですので、大きな事件ではありませんが、先日のウェスティンホテル大阪オンラインショップ等もそうでしたが、あまり大きくないECサイトも攻撃されている状況には留意が必要です。

さて、いつもの様にサイト調査をしてみたのですが、すぐにEC-CUBEの痕跡が見つかりました。※現時点でサイトは稼働中でしたので、現在HPのソースです

f:id:foxcafelate:20200905044320p:plain

リンク先（eccube.js)を見ると・・・

コピーライトの「2000-2014」部分から、2014年にリリースされたｖ2.13.2かｖ2.13.3である事がわかります。

f:id:foxcafelate:20200905044500p:plain

f:id:foxcafelate:20200905044749p:plain

いずれにせよ、EC-CUBEサイト（2系）からカード情報漏えいが2017年頃から急増していた中、3系や4系を含めて他のフレームワークへの移行を検討せず、2系を5年以上引っ張った事が主な原因だと思われます。

v2.13以前のEC-CUBE2系利用ユーザーは、別な手段で防御策が打たれてなければ、いつ攻撃を受けるか分からないと考えた方が良いかと思います。

しかし、イーシーキューブ社や経産省が注意喚起を出した後も、こうしたインシデント発表が続いている事を考えると、カード会社や決済代行会社は加盟店をもう少し指導（啓蒙）した方が良い気がします。

※一部の加盟店は、自社のECサイトが何を使っているのか理解してない（サイト構築したらアップデートを放棄している）気がしてなりません。

■EC-CUBEバージョンの推定表

リリース日	バージョン
2007/12/4	EC-CUBEv2.0リリース
2008/4/10	EC-CUBEv2.1リリース
2008/10/1	EC-CUBEv2.3リリース
2009/5/19	EC-CUBEv2.4リリース
2011/3/23	EC-CUBEv2.11リリース
2012/5/24	EC-CUBEv2.12リリース
2013/9/19	EC-CUBEv2.13リリース
2014/6/18 （2014/11/7）	EC-CUBEv2.13.2（ｖ2.13.3）リリース ▲浅草安立屋の利用バージョン
2015/7/1	EC-CUBEv3リリース
2018/10/11	EC-CUBEv4リリース
2019/8/8~2020/6/16	▲浅草安立屋が侵害を受けた時期
2019/10/29	EC-CUBEv2.17リリース
2019/12/20	経産省注意喚起
2019/12/23	EC-CUBE注意喚起

余談です。今回の公式発表の時系列に強い違和感があります。

日時	出来事
2019/8/8~ 2020/6/16	クレジットカード決済をした57名の情報が流出した可能性
2019/12/20	経産省注意喚起
2019/12/23	EC-CUBE注意喚起
2020/5/14	一部のクレジットカード会社からカード情報流出懸念
	カード決済を停止
~2020/8/13	調査機関による調査完了
2020/8/21	個人情報保護委員会へ報告
	所轄警察署へ報告
2020/9/4	事件を公表