青山学院大学のオリジナルグッツ等を販売する青山学院購買会からカード情報、及び個人情報が流出した可能性があると発表されていました。
www2.uccard.co.jp
公式発表
2.個人情報漏洩状況
(1)原因
ア 個人情報(クレジットカード情報を除く)
弊社が運営する「青山学院購買会通販サイト」への不正アクセスにより、当サイトで保持しているお客様の個人情報が漏えいした可能性がございます。なお、当サイトではお客様のカード会員情報を保持していないため、後述の偽の決済フォームへの誘導によるものを除き、カード情報への不正アクセスは確認されておりません。
イ クレジットカード情報
弊社が運営する「青山学院購買会通販サイト」への不正アクセスにより、ペイメントアプリケーションの改ざんが行われたことによります。具体的には、不正アクセスの結果、お客様を、クレジットカード情報を入力させ盗み取るための偽の決済フォームへ誘導するプログラムが用意され、当該偽の決済フォームに入力されたお客様のクレジットカード情報が漏えいしたものです。
(2)個人情報漏洩の可能性があるお客様
ア 個人情報(クレジットカード情報を除く)
2015 年 6 月 2 日~2020 年 9 月 16 日の期間に「青山学院購買会通販サイト」にて会員登録をされた又は商品の注文をされたお客様(会員情報:2,330 件、注文情報:5,478 件)で、漏洩した可能性のある情報は以下のとおりです。
【会員情報】
会員登録の際にご登録をいただいた氏名、会社名、住所、メールアドレス、電話番号、FAX 番号、性別、職業、生年月日
【注文情報】
①商品のご注文の際にご入力いただいた氏名、会社名、メールアドレス、電話番号、FAX 番号、性別、職業、生年月日、住所 ②お届け先情報としてご入力いただいた氏名、会社名、電話番号、FAX 番号、住所
なお、第三者調査機関による調査及び当社による追加調査の結果、実際の個人情報流出件数は、より少ない可能性もあるものの、特定不可能であるため、不正アクセスを受けた当サイト内にて保持する全データを漏えいの最大件数としてご報告しております。
イ クレジットカード情報
2019 年 6 月 25 日~2020 年 5 月 12 日の期間中に「青山学院購買会通販サイト」においてクレジットカード決済をされたお客様 519 名において、漏洩した可能性のある情報は以下のとおりです。なお、期間中にクレジットカード決済をされたお客様全てのクレジットカード情報を漏えいの最大件数としてご報告しております。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
(公式発表より引用)
キタきつねの所感
青山学院購買会は、学校法人青山学院が全額出資しており、購買会(他大学だと学生生協の様なものでしょうか)の他に、学生食堂、警備、ホール運営など学校関連業務を一手に引き受けている組織の様です。
今回被害を受けたのは、グッツ販売のサイトです。現在はログインが停止されているのですが、ソースコードは見られたので、そちらを確認してみると・・・
なにやら見覚えがあるJavaScript呼び出しが書かれており・・・
やはり、EC-CUBE v2.13に特有のコメントアウトがありました。
念のためJavaScriptの中身も確認すると、v2.13で間違い無い様です。
魚拓サイトで確認すると、2015年8月の魚拓では同じ様にv2.13のコメントアウトを確認しましたので、少なくても青山学院購買会は5年間以上、EC-CUBEの更新(バージョンUP)をしてない事が分かります。
今回の事件では、カード情報だけでなく個人情報も漏えいしたと推定されていますが、公式発表を見ると、2015年~漏えいした可能性があるとありますので、ECサイトを構築した後の注文データを(カード情報を除いて)顧客DBとしてEC-CUBE内に保存していた所をゴソっと抜かれたという事だと推測されます。
(2)個人情報漏洩の可能性があるお客様
ア 個人情報(クレジットカード情報を除く)
2015 年 6 月 2 日~2020 年 9 月 16 日の期間に「青山学院購買会通販サイト」にて会員登録をされた又は商品の注文をされたお客様(会員情報:2,330 件、注文情報:5,478 件)で、漏洩した可能性のある情報は以下のとおりです。
(公式発表より引用)
カード情報漏えいに関しては、時系列に入れてみると・・・
■EC-CUBEバージョンの推定表
リリース日 |
バージョン |
2007/12/4 |
EC-CUBEv2.0リリース |
2008/4/10 |
EC-CUBEv2.1リリース |
2008/10/1 |
EC-CUBEv2.3リリース |
2009/5/19 |
EC-CUBEv2.4リリース |
2011/3/23 |
EC-CUBEv2.11リリース
|
2012/5/24 |
EC-CUBEv2.12リリース
|
2013/9/19 |
EC-CUBEv2.13リリース
▲青山学院購買会の利用バージョン
|
2015/7/1 |
EC-CUBEv3リリース |
2018/10/11
|
EC-CUBEv4リリース
|
2019/6/25~2020/5/12
|
▲青山学院購買会が侵害を受けた時期
|
2019/10/29 |
EC-CUBEv2.17リリース |
2019/12/20 |
経産省注意喚起 |
2019/12/23 |
EC-CUBE注意喚起 |
昨年末の経産省(イーシーキューブ社)の異例の注意喚起を把握してなかった事が分かります。
青山学院購買会のWebサイト制作は外部企業が請け負った様ですが、青山学院購買会側も、外部の制作会社側も、EC-CUBEの脆弱性についての感度が弱かった様です。
当ブログでもたくさんのEC-CUBEサイトからの漏えい事件について記事を書いて、啓蒙に努めてきたつもりですし、イーシーキューブ社やカード会社等も当然の事ながら告知はしてきたのだと思いますが、ECサイトを構築したら放置するサイト(制作会社)に伝わってない、この事が残念でなりません。
私は、書きすぎと関係各所から怒られるかも知れませんが、加盟店を管理する責任があるアクワイヤラーが、自社の加盟店に対して更なる啓蒙活動を行う必要があるのではないかと思います。
※今回被害を受けた青山学院購買会のWeb制作をした会社が分かりましたので、他に影響を受ける可能性がある通販サイトに対して、注意喚起のメールを出そうと思います。(所見としては・・・この会社がEC-CUBEで制作したサイトは、脆弱性がある所が多数ありそうです)
余談です。青山学院の関係者の方が多くオリジナルグッツを購入していたと思われるので、今回被害を受けた可能性があるのは、学生や大学OB、関係者が多いかと思います。ですが、事件を検知したのは「カード会社」であるのが気になりました。
1.経緯
2020 年 5 月 12 日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、同日弊社が運営する「青山学院購買会通販サイト」での商品販売を停止いたしました。
(公式発表より引用)
フォレンジック調査の結果として、今回の攻撃はフィッシングサイトに誘導される攻撃だったと判明している訳ですが、大学関係者が多かったと思われる被害者(519人)の方が・・・誰も(偽サイトに誘導された際に)違和感を感じなかったのかな?という点が少しひっかかりました。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴