Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

魚匠庵WEBサイトもEC-CUBE

クレジットカード情報漏えい事件 調べてみた。

ニッスイグループの博多まるきた水産は、EC-CUBEからの引っ越しが少し遅かった様です。昨年9月に閉鎖した旧サイトからのカード情報漏えいが報じられていました。

www.security-next.com

同社によれば、2019年9月30日まで同社が運営していた「魚匠庵WEBサイト」が不正アクセスを受け、顧客情報が外部に流出し、一部のクレジットカード情報が不正利用された可能性が判明したもの。

2018年1月23日から2019年9月30日にかけて同サイトで決済にクレジットカードを利用した顧客3272人分のクレジットカード情報が被害に遭った可能性があり、クレジットカードの番号、有効期限、セキュリティコードが含まれる。

2月17日にクレジットカード会社から情報流出の可能性について連絡を受けたが、同社では2019年10月1日に「楽天市場」へ通信販売サイトを移行した際、サーバ上のデータをすべて削除していたという。

(Security Next記事より引用)

 

公式発表

 

キタきつねの所感

昨年9月末に楽天市場へ通販サイトを引っ越ししたのが「間に合わなかった」という事の様です。

侵害を受けた旧サイトを魚拓サイトで追ってみると、この様なサイトだった様です。

f:id:foxcafelate:20200917062031p:plain

 

「魚匠庵WEBサイト」は2002年には立ち上がっており、18年以上通販サイトを運営している”老舗”である事が分かります。

f:id:foxcafelate:20200917062532p:plain

 

 

早速、いつもの様に旧サイトの魚拓データを調べてみると・・・すぐに馴染みの証跡が見つかりました。

f:id:foxcafelate:20200917062958p:plain

 

やはりEC-CUBEでした。

 

侵害を受けた2018年~2019年はEC-CUBE利用サイトからの侵害事件発表が多かった年なので不思議ではありませんが。

f:id:foxcafelate:20200917063038p:plain

 

時系列で見ると、楽天市場への引っ越しが「間に合わなかった」という印象が強いです。

 

EC-CUBEバージョンの推定表

リリース日 バージョン
2007/12/4 EC-CUBEv2.0リリース
2008/4/10 EC-CUBEv2.1リリース
2008/10/1 EC-CUBEv2.3リリース
2009/5/19 EC-CUBEv2.4リリース
2011/3/23 EC-CUBEv2.11リリース
2012/5/24

EC-CUBEv2.12リリース

▲魚匠庵WEBサイトの利用バージョン
2013/9/19 EC-CUBEv2.13リリース 
2015/7/1 EC-CUBEv3リリース
2018/1/23~2019/9/30 ▲魚匠庵WEBサイトが侵害を受けた時期

2018/10/11

 EC-CUBEv4リリース
2019/10/1 ▲魚匠庵WEBサイトが通販サイトをリニューアル(楽天市場に引っ越し)
2019/10/29 EC-CUBEv2.17リリース 
2019/12/20 経産省注意喚起
2019/12/23  EC-CUBE注意喚起

 

2019年5月にイーシーキューブ社が(最初の)注意喚起を出しており、当ブログでも度々取り上げてきました。時期的に、この注意喚起や昨年頻発したEC-CUBEサイトの事件報道を受けて、楽天市場への引っ越しが検討されたのかも知れません。

しかし、サイト引っ越しの段階では「既に侵害を受けていた」と考えると、残念ながら検討(対策)が遅かったと言えるかも知れません。

  

今回侵害を受けた上記「旧サイト」のデザインは、魚拓上では2012年末に変更になっていますので、約7年間EC-CUBE(v2.12)を利用していた事になります。

v2.13のバージョンアップをしてなかったのは問題があるかも知れませんが、仮にv2.13にしていたとしても、v2.13利用サイトも侵害を多数受けていますので結果は変わらなかったかも知れません。侵害経路については、公式発表には例によって「システムの一部の脆弱性としか書かれてませんのが、EC-CUBEの注意喚起にある様なソフトウェア(プラグイン)のもつバグ以外の脆弱性が狙われた可能性が高いかと思います。

 

たらればで書くのはどうかと思いますが、 博多まるきた水産は、楽天市場への移行を決めたタイミング侵害を受けてないかチェックする、あるいは移行までの間に監視強化(Webページの改ざん検知含む)が出来ていれば、被害をもう少し抑えられたかも知れません。

※旧サイトが侵害を受けた多くのインシデントでは「旧サイトへのセキュリティ対策や監視が緩くなる」所を攻撃を受けていますので、移行を決めた後は可及的速やかに切り替えるか、時間がかかる場合は監視強化を図る必要があります。

 

この記事を書いている時点で、既にもう1件カード情報漏えい事件が報じられていますが、EC-CUBE利用サイト、特に2系(v2.**)利用のユーザはEC-CUBEの注意喚起内容をよく読み、対策不備がないかどうかを改めて点検すべきかと思います。

 

 

余談です。フォレンジック調査がDVD-Rに保管したデータであったという事ですので、既に旧通販サイトを運営していた機器が撤去されていたと推測されます。

昨年9月末に閉鎖した旧通販サイトからのカード情報漏えいの疑いが判明したのが今年の2月となっており、博多まるきた水産は、バックアップデータをDVD-Rに保存していた事は、不幸中の幸いだったかと思います。

このデータが無ければ、フォレンジック調査自体が「出来なかった」と考えると、セキュリティ対策の基本ではありますが、バックアップが重要である事を改めて感じました。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 明太子のイラスト

 

更新履歴

  • 2020年9月17日 AM(予約投稿)