Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

CASAぐんまもEC-CUBE

不正アクセス事件 クレジットカード情報漏えい事件 調べてみた。

群馬県の優れた名産品や隠れた逸品を販売する通販サイトCASAぐんまからカード情報が漏えいしたと報じられていました。

www.sankeibiz.jp

 

公式発表

2.個人情報漏洩状況
(1)原因
当協会が運営する「CASAぐんま」のシステムの一部の脆弱性をついたことによる第三者不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)個人情報漏洩の可能性があるお客様
2019年9月12日~2020年6月2日の期間中に「CASAぐんま」においてクレジットカード決済をされた、又は決済フォームにてクレジットカード情報を入力されたものの、購入にいたらなかったお客様651名で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

(公式発表より引用)

 

キタきつねの所感

現在サイトは閉鎖されている(トップページがインシデント発表)ので、いつもの様に魚拓サイトを使って調査した所、侵害期間中であ5/12の魚拓ページが見つかりました。

f:id:foxcafelate:20200930051948p:plain


このページのソースコードを見てみると・・・

 

EC-CUBEv2.13で間違い無さそうです。

※緑のコメントアウト定型文と、eccube.legacy.jsがv2.13の特徴となります

 

f:id:foxcafelate:20200930052139p:plain

 

 

コピーライトの年号(2000-2013)からも、v2.13を利用していた事が分かります。

f:id:foxcafelate:20200930052420p:plain

 

他にもEC-CUBEの特徴(痕跡)として分かりやすいのが、会員登録ページ(の前の規約)ですが、「kiyaku.phpも確認しました。

f:id:foxcafelate:20200930052626p:plain

 

EC-CUBEバージョンの推定表

リリース日 バージョン
2007/12/4 EC-CUBEv2.0リリース
2008/4/10 EC-CUBEv2.1リリース
2008/10/1 EC-CUBEv2.3リリース
2009/5/19 EC-CUBEv2.4リリース
2011/3/23

EC-CUBEv2.11リリース
2012/5/24

EC-CUBEv2.12リリース
2013/9/19

EC-CUBEv2.13リリース 

▲CASAぐんまの利用バージョン
2015/7/1 EC-CUBEv3リリース

2018/10/11

EC-CUBEv4リリース

2019/9/12~2020/6/2

▲CASAぐんまが侵害を受けた時期
2019/10/29 EC-CUBEv2.17リリース 
2019/12/20 経産省注意喚起
2019/12/23  EC-CUBE注意喚起

 

時系列表で考えてみると、CASAぐんまは昨年末の経産省の注意喚起を把握してなかったという事なのだと思います。

仮に注意喚起(昨年12月)を受けて対応していたとしても、昨年9月侵害は始まっていますので被害は免れませんが、被害件数が1/3程度に抑えられた可能性があった事を考えると、ECサイトが自社サイト構築に使っているソフト(EC-CUBE)や、その脆弱性を把握してない事がいかに危険であるか分かります。

 

EC-CUBEは国内シェアが高いソフトであり、多くのユーザーに支持されていますが、誤解を恐れずに言えば、(2系において)セキュリティ機能を搭載しなかった事が失敗だったのかと思います。

例えば管理者がログイン時に必ず見るであろう、管理者画面トップへ注意喚起や更新パッチへのリンクを貼る、あるいはパッチの自動更新機能を搭載するなど、工夫の余地があった気がします。

 

勿論、ECサイト側に設定ミス等の多くの責があってインシデントが多発しているのは間違いありませんが、それ以外にもイーシーキューブ社がセキュリティ機能(搭載)を「シフトレフト」してなかったが故に、ECサイトを一度構築して何年もパッチを当てず、脆弱性情報をウォッチもしないECサイト事業者(制作会社) が数多く生まれる事につながった、そんな気がしてなりません。

 

何度も同じ事を書いている気がしますが、2系(v2.13以前)ユーザーは今一度、自社サイトの設定に問題がないかEC-CUBE注意喚起の内容をご覧になる事を強くお勧めします必要に応じて、3系や4系などのバージョンや他のフレームワークに移転できないかを検討するべきです。

また、カード会社や決済代行会社は既に実施済だろうと推測しますが、未だにEC-CUBE2系が集中的に狙われている事を、自社加盟店に繰り返し啓蒙・告知すべきかと思います。

 

余談です。去年に比べるとまだ件数は少ないのですが、最近になってカード情報漏えいの発表が多い気がします。この手の発表はカード会社(決済代行会社)側の指導の下で行われるので、最近の発表ペースを考えると、発表しなければならない(裏で控えている)カード情報漏えいインシデントが多いのかも知れません。

 

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 群馬県のキャラクター

 

更新履歴

  • 2020年9月30日 AM(予約投稿)