Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

メイプルもEC-CUBE

鍼灸・医療などのECサイトを運営するメイプル社の4サイトからのカード情報漏えいが報じられていました。

www.security-next.com


 

公式発表

 

キタきつねの所感

4サイト合計で1,147件のカード情報が漏えいした疑いがある様です。

先に結論を書くと、現在全てのサイトが閉鎖しており、魚拓サイトでも証跡は完全には確認できませんでしたが、4サイト共に、EC-CUBE(2系)を利用していたと推測されます。

 

早速、一番被害が大きかった「メイプルショップ鍼灸サイト」から調査していきます。

2.個人情報流出状況
(1)原因
弊社が運営する「メイプルショップ鍼灸サイト」のシステムの一部の脆弱性をついたことによる第三者の不正アクセ
(2)個人情報流出の可能性があるお客様
2019 年 8 月 28 日~2020 年 6 月 26 日の期間中に「メイプルショップ鍼灸サイト」においてクレジットカード決済をされたお客様 775 名で、流出した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティーコード

(公式発表より引用)

 

魚拓サイトでは、2019年3月17日のデータを確認しました。

※侵害期間外なので以下推測内容となります。

f:id:foxcafelate:20201111053947p:plain

 

このトップページのソースを見ると、v2.13特有のコメントアウトを確認できます。

f:id:foxcafelate:20201111054104p:plain

f:id:foxcafelate:20201111054444p:plain

 

【キタきつねの推定】

2019年3月までv2.13を引っ張っている事を考えると、侵害を受けたと思われる2019年8月にもv2.13だった可能性が高いかと思います。

 

続いて、「メイプルショップ医療向けサイト」を確認していきます。

2.個人情報流出状況
(1)原因
弊社が運営する「メイプルショップ医療向けサイト」のシステムの一部の脆弱性をついたことによる第三者不正アクセス
(2)個人情報流出の可能性があるお客様
2019 年 8 月 28 日~2020 年 2 月 5 日の期間中に「メイプルショップ医療向けサイト」においてクレジットカード決済をされたお客様 299 名で、流出した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティーコード

(公式発表より引用)

 

魚拓サイトで確認が取れたのは、2019年1月26日のデータです。こちらも侵害期間より少し前のデータとなります。※侵害期間外なので以下推測内容となります。

 

少しページが崩れてますがトップページのソースを見ていきます。

f:id:foxcafelate:20201111054946p:plain

 

こちらも同じくv2.13特有のコメントアウトが確認できました。

f:id:foxcafelate:20201111055054p:plain

f:id:foxcafelate:20201111055152p:plain

【キタきつねの推定】

こちらのサイトも2019年1月までv2.13を引っ張っている事を考えると、侵害を受けたと思われる2019年8月にもv2.13だった可能性が高いかと思います。

 

次は3番目のサイト、「全国鍼灸マッサージ協会オンラインストア」です。

2.個人情報流出状況
(1)原因
弊社が運営する「全国鍼灸マッサージ協会オンラインストア」のシステムの一部の脆弱性をついたことによる第三者不正アクセス
(2)個人情報流出の可能性があるお客様
2019 年 8 月 28 日~2020 年 6 月 26 日の期間中に「全国鍼灸マッサージ協会オンラインストア」においてクレジットカード決済をされたお客様 59 名で、流出した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティーコード

(公式発表より引用)

 

こちらは最近の魚拓が確認できず、2017年3月30日のデータしか見つけられませんでした。※侵害期間外なので以下推測内容となります。

f:id:foxcafelate:20201111061142p:plain

 

ソースコードを見ると、やはりv2.13でした。

f:id:foxcafelate:20201111061229p:plain

f:id:foxcafelate:20201111061333p:plain

 

【キタきつねの推測】

侵害を受けた2019年より2年前のデータしか確認できませんでしたので、間違っているかも知れませんが、前の2つのサイトから考えるとv2.13をそのまま使っていた可能性は十分にありそうです。

 

最後が、「メイプルショップ介護サイト」です。

2.個人情報流出状況
(1)原因
弊社が運営する「メイプルショップ介護サイト」のシステムの一部の脆弱性をついたことによる第三者不正アクセス
(2)個人情報流出の可能性があるお客様
2019 年 8 月 28 日~2020 年 5 月 13 日の期間中に「メイプルショップ介護サイト」においてクレジットカード決済をされたお客様 14 名で、流出した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティーコード

(公式発表より引用)

 

このサイトは、魚拓サイトにデータがありませんでした。現在サイトも閉鎖されており、手掛かりが無いのですが、上記3サイトから考えると同じ(v2.13)だった気がします。※根拠はまったくありませんが

 

今回侵害を受けたサイトはどこの会社が制作したのかと調べてみると、EC-CUBEの実績サイトに掲載があったので、少なくてもメイプルショップについては、スキルインフォメーションズ株式会社だった事が分かります。

f:id:foxcafelate:20201111062931p:plain

こちらの実績サイト登録では最終更新が2017年で、最近は更新がされていません。この事から、バージョンアップ(v2.13からの更新)はしてなかった事が推測されます。

医療健康システムを中心に扱っている会社の様ですが、EC-CUBEサイト構築後は、あまり手厚くユーザーサポートをしてなかった可能性を感じます。

www.sic-net.co.jp

 

と、思って調べてみるとWeb制作はスキルインフォメーションズの関係会社が担当していた(実務はこちらだった)様です。

f:id:foxcafelate:20201111063840p:plain

 

こちらを見ると・・・他の実績サイトでも古いEC-CUBEがまだ利用されているサイトがありました。そう考えると、EC-CUBEを使ってWebサイトを構築支援する会社の知見不足、またはサポート不足(構築したらその後放置)が、脆弱性のある、あるいは設定ミスが懸念されるEC-CUBE2系からのカード情報漏えいが未だに減少傾向に向かわない要因なのかも知れません。

 

昨日も書きましたが、再掲します。

カード情報非保持で大丈夫と思いこんでいるECサイト運営事業者(特にEC-CUBE2系)、制作会社は、「油断」しているだけかも知れません。被害は相次いでいますので留意下さい。

 

===

ECサイト側で当然対策していなければいけない部分(設定ミスやパッチ当て)は、カード情報非保持サービスが提供するセキュリティでカバーされません。言い方を変えれば、ECサイト側がさぼっている事に対する万能なセキュリティ対策はありません

 

最後に、昨年12月の経産省異例の注意喚起を載せておきます。EC-CUBE2系ユーザーは今一度、この内容を確認すべきかと思います。

www.meti.go.jp

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

鍼治療のイラスト(男性)

 

更新履歴

  • 2020年11月11日 AM