Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Tokyo noble* online shoppingもEC-CUBE

クレジットカード情報漏えい事件 不正アクセス事件 調べてみた。

傘の専門店、Tokyo noble* online shoppingからカード情報漏えいが発表されていました。

www.security-next.com

 

公式発表

f:id:foxcafelate:20201106055018p:plain

(公式発表より引用)

 

キタきつねの所感

公式発表(お詫びとお知らせ)が、テキストでもPDFでもなくPNG(画像)だったのは意外でした。少し見にくかったのですが、内容はいつものフォレンジック調査会社の雛形でしたので、この内容を元に考えてみます。

漏えい件数549件はほぼ1年、ECサイトが侵害されていたと考えればこの位になるかと思いますが、違う見方をすればECサイト側が侵害に1年気づけないという事がよく分かります。

 

さて、いつもの様に侵害を受けたWebサイトに関して、魚拓サイトを使って調査してみると・・・侵害を受けていた期間の魚拓(2019/12/19)が残っていました。

f:id:foxcafelate:20201106060012p:plain

 

このトップページのソースコードを見てみます。

 

すると、とても馴染みがあるEC-CUBEの記載を確認しました。緑のコメントアウト部分はv2.13に特有な部分なので、この時点でEC-CUBEv2.13を利用していた事が確定しますが、リンク先も念のため見ていきます。

f:id:foxcafelate:20201106060309p:plain

 

f:id:foxcafelate:20201106060622p:plain

 

EC-CUBE社のリリースページで、2014年リリースなのは、v2.13.2とv2.13.3なので、どちらかのバージョンだったのかと推定されます。

f:id:foxcafelate:20201016055511p:plain

 

これらの情報を推定表に入れてみると、

 

EC-CUBEバージョンの推定表

リリース日 バージョン
2007/12/4 EC-CUBEv2.0リリース
2008/4/10 EC-CUBEv2.1リリース
2008/10/1 EC-CUBEv2.3リリース
2009/5/19 EC-CUBEv2.4リリース
2011/3/23

EC-CUBEv2.11リリース
2012/5/24

EC-CUBEv2.12リリース
2013/9/19

EC-CUBEv2.13リリース 

▲Tokyo noble* online shoppingの利用バージョン(v2.13.2又はv2.13.3)
2015/7/1 EC-CUBEv3リリース

2018/10/11

EC-CUBEv4リリース

2019/6/25~2020/6/17

▲Tokyo noble* online shoppingが侵害を受けた時期
2019/10/29 EC-CUBEv2.17リリース 
2019/12/20 経産省注意喚起
2019/12/23  EC-CUBE注意喚起

 

やはり2019年末の異例の注意喚起は、EC加盟店(株式会社イー・ビー・アイ)には届いてなかった事がよく分かります。仮に注意喚起を受けて自社ECサイトを改めて見直していたとすれば、被害は防げなかったにしても、被害範囲を半分程度で抑えられた可能性があります。

www.meti.go.jp

 

被害を受けたEC-CUBEのバージョンから考えると、被害を受けたECサイトの多くはECサイトをリリースした後被害を受けるまで「放置している」(何もしていない)様に見受けられます。

セキュリティの基本である「パッチ当て(最新化)」が出来てない事について、一義的にはECサイト自身が悪いのは当然ですが、この傾向が(大きく)改善される気配が無い事に、関係者はもう少し意識を払うべきではないでしょうか。

 

この流れをどこかで止める(キルチェーンする)には、EC加盟店を審査(指導)するべきカード会社や決済代行会社、ECサイト構築パッケージ提供者、監督官庁METI)が、もう少し踏み込んで(指導を)考える事が必要な気がします。

私は、ECサイト構築支援するWebサイト制作会社の意識がまだ「作りっぱなし」の所がある様に見受けられるのが気になります。この辺りが”キルチェーン”のヒントになるのではないでしょうか。

 

今年は、手持ちデータ(そんなに精査出来ていません)になりますが、40件のカード情報漏えいが発表されているのを確認しています。

※2019年が52件、2018年が18件、2017年が27件位

EC-CUBE(主に2系)に関しては、2017年頃から被害が増加しています。漏えい件数こそ減っています(今年は約3万件 ※去年は30万件を超えています)が、未だにAPTでもなんでもない手口での攻撃が成功しているので、ハッカー側から見れば「良いお小遣い稼ぎ」になっているのが実態かと思います。

 

 

余談です。事件の時系列を見ると、7月3日にカード会社からの懸念を受けてカード決済を停止(サイト閉鎖)していますが、侵害期間はその半月前で止まっています。

 

 

f:id:foxcafelate:20201106055404p:plain

(公式発表より引用)

 

普通はECサイト側に気づかれるまで(今回のケースだと7月3日まで)攻撃側はカード情報窃取を図る事が多い事を考えると”撤退”判断が少し早い気がします。

攻撃側に何かあったのかな?と言う部分も気になったりします。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

いろいろな傘のイラスト

 

更新履歴

  • 2020年11月6日 AM