Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Kasetusya ONLINE SHOPもEC-CUBE

教育本、おもちゃ、実験器具等を販売する仮説社からカード情報漏えいが発表されていました。

f:id:foxcafelate:20201016050810p:plain

 

公式発表

2. 個人情報流出状況
(1)原因
ホームページの内容が外部から書き換え可能になっていたことが原因で、クレジットカード情報が流出する事態となりました。
(2)個人情報流出の可能性があるお客様
2019 年 9 月 3 日から 2020 年 7 月 10 日の期間中、「Kasetusya ONLINE SHOP」においてクレジットカード情報入力画面にカード情報を入力されたお客様 1128 名で、流出した可能性のある情報は以下の4点です。
・カード会員氏名
・カード番号
・カード有効期限
・セキュリティコード
上記に該当する 1128 名のお客様については、別途、電子メールにて個別にご連絡申し上げます

(公式発表より引用)

 

キタきつねの所感

同じ様な記事を見て飽きている方が多いかと思います。実は私もです。しかし、今回のインシデント発表に微妙に違いを感じました

少し前に記事を書いた2つのインシデントの公式発表では原因部分を以下の様に書いています。

CELL CELLAR公式ショップ

(1)原因
 弊社が運営する「CELL CELLAR セルセラ 公式ショップ(旧MFⅢ-JAPAN)」のシステムの一部の脆弱性をついたことによる第三者不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

東映ビデオ

(1) 原因
 システムの一部の脆弱性をついたことによる第三者不正アクセス

 

今回の発表内容と見比べてみますと、書き方が少し違います。

(1)原因
ホームページの内容が外部から書き換え可能になっていたことが原因で、クレジットカード情報が流出する事態となりました。

 

最近インシデント発表を読んでいて多いと感じるのはWebページが書き換えられ、外部の偽決済ページ(フィッシングサイト)に誘導してカード情報を窃取する攻撃なのですが、今回の原因の書き方だと、少し合ってない気がします。

 

原因部分の表現が少し違うのは、私は今回の手口が、偽ページからのカード情報窃取ではなくて、決済ページ自体に不正コードを埋め込まれた、という手口だった可能性を感じました。

この手法は、Magecart(海外でカード情報窃取を行っている有名ハッカー集団)等が得意とするものですが、本物の決済ページから、正規の通信(カード会社や決済代行会社)の他に、ハッカーへカード情報を不正通信する不正コード(スキマー)が仕掛けられるので、カード利用者に(フィッシングページ誘導より)不正を気づかれにくい特性があります。

真偽のほどは、この公式発表の2行だけでは分かりませんが、公式発表の表現が少しいつもと違ったので、そんな風に想像しました。

※余談ですが日本でカード情報漏えい事件が発生した際は、PCF社さんがほとんどのケースでフォレンジック調査をしています。カード情報漏えい事件の公式発表の記載内容(フォーマット)がほぼ同じ書き方になってなっているのは、その為かと思います。

 

さて、別段興味も無い方も多いかと思いますが、いつもの様に被害を受けた仮想社のHPを調査しました。

サイトのトップページにログイン画面が埋め込まれていたので、ソースコードを確認すると・・・

 

f:id:foxcafelate:20201016055208p:plain

 

いつものEC-CUBEでした。コメントアウト(緑色の部分)がEC-CUBE v2.13に特有な部分なのでv2.13利用が確定しますが、一応、呼び出しをかけているecube.jsも開いてみると、コピーライト部分(2000-2014)からv2.13のマイナーバージョンが少し新しい事が分かります。

f:id:foxcafelate:20201016055410p:plain

 

EC-CUBE社のリリースページで、2014年リリースなのは、v2.13.2とv2.13.3なので、どちらかのバージョンだったのかと推定されます。

f:id:foxcafelate:20201016055511p:plain

 

時系列で考えてみると、今年に入っての多くのインシデントと同様ですが、昨年末の経産省の異例の注意喚起が、EC-CUBEの2系ユーザーにいかに「届いてない」かがよく分かります。

 

EC-CUBEバージョンの推定表

リリース日 バージョン
2007/12/4 EC-CUBEv2.0リリース
2008/4/10 EC-CUBEv2.1リリース
2008/10/1 EC-CUBEv2.3リリース
2009/5/19 EC-CUBEv2.4リリース
2011/3/23

EC-CUBEv2.11リリース

2012/5/24

EC-CUBEv2.12リリース

2013/9/19

EC-CUBEv2.13リリース 

▲Kasetusya ONLINE SHOPの利用バージョン(v2.13.2 or v2.13.3)

2015/7/1 EC-CUBEv3リリース

2018/10/11

EC-CUBEv4リリース

2019/9/3~2020/7/10

▲Kasetusya ONLINE SHOPが侵害を受けた時期

2019/10/29 EC-CUBEv2.17リリース 
2019/12/20 経産省注意喚起
2019/12/23  EC-CUBE注意喚起

 

私の調査では、去年の今頃はもっと酷かったのは間違いありません。

しかしイーシーキューブ社やカード会社等の努力もあったものの、少し意識が高いEC-CUBEユーザーが脆弱性に対応した(無償の脆弱性スキャン等を活用して)だけであって、2系ユーザーからのインシデントが減少傾向にあるとはとても言えない状況です。

 

毎回書いてますが、やはり加盟店を管理する立場のアクワイヤラー(カード会社)が、もっと加盟店を啓蒙(指導)する必要があるのではないでしょうか。

それが、諸般の事情で難しいのであれば、ホワイトハッカーによる疑似攻撃(+注意喚起)を、日本でも認めるべきだと思います。

 

 

余談ですが、先日EC-CUBEの古いバージョンを使っているECサイトがいくつか判明したので、10サイト程に注意喚起メールを出してみましたが、一切反応がありませんでした。

ツールを使って疑似攻撃をさせて貰えれば、もっと良い助言が出来るのと思いますが、外から見える部分による潜在的脆弱性があります”といった表面的な注意メールでは、ECサイト運営者にはほとんど響かない様です。

 

加盟店を指導するべきアクワイヤラーでも古いバージョンを使って脆弱性があるEC加盟店を指導できない(加盟店契約を打ち切れない)のであれば、現状が続く事となり、EC-CUBE(2系)が被害を受けるカード情報漏えい事件がまだまだ続いてしまう気がしてなりません。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

科学・理科の実験のイラスト(男の子)

 

更新履歴

  • 2020年10月16日 AM(予約投稿)