Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ひでじビールオンラインショップもEC-CUBE

クレジットカード情報漏えい事件 調べてみた。

宮崎の地ビール販売を行っている宮崎ひでじビールからカード情報漏えいが発表されていました。

www.security-next.com

 

公式発表

2.個人情報流出状況
(1)原因

 弊社が運営しておりました「ひでじビールオンラインショップ」のシステムの一部の脆弱性をついたことによる第三者不正アクセスによるものです。

 弊社社内、またサーバー上ではお客様のクレジットカード情報は保有しておらず、手口としてはオンラインショップの決済時の情報入力画面にて、不正に設置された偽のカード情報入力画面が現れ、偽画面に入力を行った場合に情報が盗まれるという不正プログラムが設置されていました

(2)個人情報流出の可能性があるお客様

2019年6月5日~2020年7月3日の期間中に「ひでじビールオンラインショップ」においてクレジットカード情報入力画面にカード情報を入力されたお客様1181名で、流出した可能性のある情報は以下の4点です。

・クレジットカード名義
・クレジットカード番号
・クレジットカード有効期限
セキュリティコード

(公式発表より引用)

 

キタきつねの所感

今回のひでじビールの公式発表は、非常に丁寧に説明している印象です。事件を引き起こした手口、すなわち「システムの一部の脆弱性をついたことによる第三者不正アクセス」の中身が書かれている公式発表は、久しぶりに見ました。

オンラインショップの決済時の情報入力画面にて、不正に設置された偽のカード情報入力画面が現れ、偽画面に入力を行った場合に情報が盗まれるという不正プログラムが設置されていました

 

サイトは現在閉鎖中ですが、Webサイトには事件の公式発表及び「Q&A」ページのリンクが貼られています。

f:id:foxcafelate:20200918051808p:plain

 

Q&A(FAQ)は海外のデータ侵害事件でよく見ますが、日本のECサイトではほとんど見かけません。事件の影響を受けた顧客やステークホルダーに向けたこうした発表は、日本でも当たり前に行われる様になると良いのですが。

 

f:id:foxcafelate:20200918052954p:plain


さて、サイトが閉鎖されているので、いつもの様に魚拓サイトで確認してみました。今年の5月28日の魚拓(侵害期間中)があったので、こちらの中身を見ていくと、

f:id:foxcafelate:20200918053352p:plain

 

馴染みがあるJSファイルが呼ばれていて・・・

f:id:foxcafelate:20200918053511p:plain

 

やはり、EC-CUBEでした。

f:id:foxcafelate:20200918053604p:plain

 

 

EC-CUBEのバージョンは2系(v2.11)だったと推定されます。

 

EC-CUBEバージョンの推定表

リリース日 バージョン
2007/12/4 EC-CUBEv2.0リリース
2008/4/10 EC-CUBEv2.1リリース
2008/10/1 EC-CUBEv2.3リリース
2009/5/19 EC-CUBEv2.4リリース
2011/3/23

EC-CUBEv2.11リリース

▲ひでじビールオンラインショップの利用バージョン
2012/5/24

EC-CUBEv2.12リリース
2013/9/19 EC-CUBEv2.13リリース 
2015/7/1 EC-CUBEv3リリース

2018/10/11

EC-CUBEv4リリース

2019/6/5~2020/7/3

▲ひでじビールオンラインショップが侵害を受けた時期
2019/10/29 EC-CUBEv2.17リリース 
2019/12/20 経産省注意喚起
2019/12/23  EC-CUBE注意喚起

 

時系列で考えると、ひでじビールは約8年間v2.11を利用していた事となり、2019年末の経産省の異例の注意喚起後に「何もしなかった」事から被害範囲が拡大したと推測されます。

 

2系を継続利用するのであれば、v2.13やv2.17の更新をしてなかった事はイーシーキューブ社の既存ユーザーに対する告知(注意喚起)が不十分であった事もありそうですが、昨年末の注意喚起を受けて、自社サイトを見直さなかった事に関しては、サイト運営側(あるいはその制作会社)として責任があるかと思います。

※早めに対処できていれば、半分程度の被害件数で収まったのではないでしょうか。

 

併せて感じるのが、ECサイト(カード加盟店)を管理するカード会社や決済代行会社の啓蒙不足です。昨年に比べるとインシデント発生件数やカード情報の総流出件数は下がっていますが、それでも一昨年の発生件数に近い推移になっています。そして、残念な事に未だに事件発表があった8割以上がEC-CUBE利用サイト(ほぼ2系)です。

 

加盟店を管理する立場であるカード会社や決済代行会社は、既に啓蒙をされているとは思いますが、更に啓蒙活動が必要なのではないでしょうか。

 

※キタきつね調べでは今年下半期のカード情報漏えい事件発表9件中9件、つまり100%がEC-CUBE(2系)です。

前期と併せても26件中22件(約80%)がEC-CUBE(1件は3系以上、残り22件が2系)と推定されます。

foxestar.hatenablog.com

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 クラフトビールのイラスト

 

更新履歴

  • 2020年9月18日 AM(予約投稿)