Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

レプロエンタテインメントもEC-CUBE

新垣結衣長谷川京子吉川ひなの川島海荷さんら多数のタレントが所属するレプロエンタテイメントのECサイトがカード情報漏えいの疑いがある事を発表しました。

www2.uccard.co.jp

 

公式発表

2.個人情報流出状況

(1)原因

弊社が運営する当該サイトのシステムの一部の脆弱性をついた悪意ある第三者による不正アクセス

(2)個人情報流出の可能性があるお客様

2020年2月13日~2020年8月12日の期間中に当該サイトにおいてクレジットカード決済をされたお客様4,722名で、流出した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(公式発表より引用)

 

キタきつねの所感

3日連続でカード情報漏えいの記事を書くとは思ってもませんでした。大手芸能事務所のECサイトでの漏えいは、2009年にアミューズであった(カード情報3.4万件/個人情報14.8万件)のは覚えてますが、それ以降は記憶にありません。

 

今回被害を受けたECサイト現在閉鎖しています。

f:id:foxcafelate:20201111193236p:plain

 

魚拓サイトには2020年8月9日(侵害を受けていた期間中)のデータが残っていましたので、こちらで確認していきます。

f:id:foxcafelate:20201111193445p:plain

 

このページのソースコードを確認します・・・が、大手芸能事務所のHPで見るとは思ってなかった”馴染みのJavaScript呼び出し”が確認できました。

f:id:foxcafelate:20201111193729p:plain

 

EC-CUBEv2.13で間違いありません。一応・・・eccube.jsを開いてみます。

やはり見間違いではなく、レプロがフリーのEC-CUBE(2系)を使ってECサイトを構築していた様です。

f:id:foxcafelate:20201111194235p:plain

 

 

EC-CUBE社のリリースページで、2014年リリースなのは、v2.13.2とv2.13.3なので、どちらかのバージョンだったのかと推定されます。

f:id:foxcafelate:20201016055511p:plain

 

これらの情報を推定表に入れてみると、2014年から約6年間レプロはEC-CUBEをバージョンアップ(あるいは他スキームへの移行)してこなかった事が分かります。

 

EC-CUBEバージョンの推定表

リリース日 バージョン
2007/12/4 EC-CUBEv2.0リリース
2008/4/10 EC-CUBEv2.1リリース
2008/10/1 EC-CUBEv2.3リリース
2009/5/19 EC-CUBEv2.4リリース
2011/3/23

EC-CUBEv2.11リリース

2012/5/24

EC-CUBEv2.12リリース

2013/9/19

EC-CUBEv2.13リリース 

▲レプロ公式オンラインショップの利用バージョン(v2.13.2又はv2.13.3)

2015/7/1 EC-CUBEv3リリース

2018/10/11

EC-CUBEv4リリース

2019/10/29 EC-CUBEv2.17リリース 
2019/12/20 経産省注意喚起
2019/12/23  EC-CUBE注意喚起

2020/2/13~2020/8/12

▲レプロ公式オンラインショップが侵害を受けた時期

 

今年は、中小のECサイトが比較的多く攻撃を受けていましたが、十分にセキュリティ対策を考慮しているべきはずの、大手芸能事務所のECサイトがEC-CUBE2系を利用していたのは正直驚きです。

 

また、時系列を見ると、昨年末の経産省の異例の注意喚起を元に、自サイトのセキュリティを点検していたとすれば被害を受けずに済んだ(又は軽微な被害で抑えられた)可能性が高いかと思います。

 

3日連続で書きますが、カード情報非保持サービスを導入したから大丈夫と思いこんでいるECサイト運営事業者(特にEC-CUBE2系)や、制作会社は、足元をすくわれる可能性があります。被害は相次いでいますので留意下さい。

 

===

ECサイト側で当然対策していなければいけない部分(設定ミスやパッチ当て)は、カード情報非保持サービスが提供するセキュリティでカバーされません。言い方を変えれば、ECサイト側がさぼっている事に対する万能なセキュリティ対策はありません

 

最後に、昨年12月の経産省異例の注意喚起を載せておきます。EC-CUBE2系ユーザーは今一度、この内容を確認すべきかと思います。

www.meti.go.jp

 

余談です。EC-CUBEサイト(脆弱サイト)の調査を最近してなかったのですが、簡単な検索で2系サイトが結構ヒットします。そしてこれらのサイトのソースを見ると、v2.11~v2.13を利用しているサイトは非常に多いです。時間が取れたらになるのですが、これらのサイトに脆弱性の告知をしてあげた方が良いのかなぁと(また)考えています。

※以前も何回か脆弱性があるECサイトの窓口に告知をした事がありますが、調査やメールを作成するのに時間がかかる割に、メールした多くのECサイト簡易的な返信すらしてくれません20件メールして回答をくれたのが1件くらいでしょうか。

 

以前H.I.S.が運営する変なホテルに、おもてなしロボットの脆弱性をメールした海外ホワイトハッカーの方がいましたが、自分でやってみると彼の気持ちが良く分かります。何もレスポンスが無いとやる気が出てこない、そんな事を最近は感じています。

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

芸能事務所のイラスト

 

更新履歴

  • 2020年11月11日 PM