プラセンタ商品販売を手掛けるCELL CELLAR公式ショップからカード情報漏えいした可能性があると発表されていました。
scan.netsecurity.ne.jp
公式発表
2.個人情報漏洩状況
(1)原因
弊社が運営する「CELL CELLAR セルセラ 公式ショップ(旧MFⅢ-JAPAN)」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)個人情報漏洩の可能性があるお客様1
2019年12月16日~2020年04月08日の期間中に「CELL CELLAR 公式ショップ(旧MFⅢ-JAPAN)」においてクレジットカード決済をされたお客様29名で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
(3)個人情報漏洩の可能性があるお客様2
2010年08月20日~2020年04月08日の期間中に「CELL CELLAR 公式ショップ(旧MFⅢ-JAPAN)」において定期コースおよび電話・メール・FAXにてご注文をされた一部お客様の計525名で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
(公式発表より引用)
キタきつねの所感
まず気になったのが、「カード情報非保持」違反です。
セキュリティコードこそ漏えいしていませんが、上記(3)は、改正割賦販売法の施行(2018年6月)により、カードデータは自社DBから削除しないと「カード情報保持」に該当します。この場合はPCI DSS準拠が必須となりますが、恐らくCELL CELLARはこの対応をしてないかと思います。
2010年8月からのデータが漏えいした=残っていた、という部分については非保持にした(決済代行会社等の非保持ソリューションを導入した)意味が無いとしか言えません。
また、こうしたインシデントが続いた場合、(非保持に対する)ガイドラインも更にきつくなる可能性が出てきますので、ECサイトは「本来残してはいけない古いカードデータ」を”保持してないか”、確認をすべきかと知れません。
少し横道にそれましたが、CELL CELLARのサイトをいつもの様に魚拓サイトで確認していきます。
とは言え、魚拓サイトで確認できたのは2019年1月9日のデータでした。少し精度が落ちますが、こちらを詳しく見ていきます。
※(2)の侵害期間からは外れていますが、(3)の侵害期間内となります。
また、馴染みが深いJavaScript呼び出し部分がソースコードに出てきました。
この中のファイルを開いてみると・・・やはりEC-CUBEでした。コピーライト部分(2000-2012)から考えると、v2.12をこの時点で利用していたと思われます。
■EC-CUBEバージョンの推定表
| リリース日 |
バージョン |
| 2007/12/4 |
EC-CUBEv2.0リリース |
| 2008/4/10 |
EC-CUBEv2.1リリース |
| 2008/10/1 |
EC-CUBEv2.3リリース |
| 2009/5/19 |
EC-CUBEv2.4リリース |
| 2011/3/23 |
EC-CUBEv2.11リリース
|
| 2012/5/24 |
EC-CUBEv2.12リリース
▲CELL CELLARの利用バージョン
|
| 2013/9/19 |
EC-CUBEv2.13リリース
|
| 2015/7/1 |
EC-CUBEv3リリース |
|
2018/10/11
|
EC-CUBEv4リリース
|
|
2019/12/16~2020/4/8
2010/8/20~2020/4/8
|
▲CELL CELLARが侵害を受けた時期①
※公式発表の「(2)個人情報漏洩の可能性があるお客様1」
▲CELL CELLARが侵害を受けた時期②
※公式発表の「(3)個人情報漏洩の可能性があるお客様2」
|
| 2019/10/29 |
EC-CUBEv2.17リリース |
| 2019/12/20 |
経産省注意喚起 |
| 2019/12/23 |
EC-CUBE注意喚起 |
公式発表の「(2)個人情報漏洩の可能性があるお客様1」の魚拓データが無かったので、昨年末の異例の注意喚起を受けて、CELL CELLAR側がセキュリティを強化したのかが確認できませんでした。
以下根拠の無い推測になりますが、「(3)個人情報漏洩の可能性があるお客様2」の保持してはいけないカード情報を4/8まで保持していた事を考えると、v2.12のままであまり対策が取られてなかった気がします。
昨年の今頃、EC-CUBEサイトのあまりの被害の多さに、EC-CUBE実績サイト(構築事例)に掲載されていたサイト(本来ならセキュリティ対策が取られているべき公開サイト)を中心にEC-CUBEサイトの脆弱性を調査していましたが、およそ半分のサイトに「管理者アクセス不備」(※言葉を濁しますがパスワードリスト攻撃が出来てしまう状況)を見つけました。
しかし、先日実績サイトを少し見た際の印象として、更新・登録されたサイトでの不備が劇的に減っている様に感じます。
とは言え、ここにきてまたカード情報漏えいインシデントの発表が増えている事を考えると、サイトを構築したままで「放置している」ECサイト運営事業者にまでは、経産省やイーシーキューブ社の注意喚起が届いてないのではないでしょうか。
既に実施している事とは思いますし、中小のECサイトまで考えると難しい事なのだとは思いますが、加盟店(ECサイト)を管理するアクワイアラー(カード会社)が加盟店を指導(啓蒙)していく事が重要な気がします。
余談です。カード会社や決済代行会社”でない”告知パターンを久しぶりに見ました。
1.経緯
2020年4月7日、警視庁サイバー犯罪対策課より連絡を受け、2020年4月8日弊社が運営する「CELL CELLAR セルセラ 公式ショップ(旧MFⅢ-JAPAN)」でのカード決済を停止いたしました。
(公式発表より引用)
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
