新垣結衣、長谷川京子、吉川ひなの、川島海荷さんら多数のタレントが所属するレプロエンタテイメントのECサイトがカード情報漏えいの疑いがある事を発表しました。
www2.uccard.co.jp
公式発表
2.個人情報流出状況
(1)原因
弊社が運営する当該サイトのシステムの一部の脆弱性をついた悪意ある第三者による不正アクセス
(2)個人情報流出の可能性があるお客様
2020年2月13日~2020年8月12日の期間中に当該サイトにおいてクレジットカード決済をされたお客様4,722名で、流出した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
(公式発表より引用)
キタきつねの所感
3日連続でカード情報漏えいの記事を書くとは思ってもませんでした。大手芸能事務所のECサイトでの漏えいは、2009年にアミューズであった(カード情報3.4万件/個人情報14.8万件)のは覚えてますが、それ以降は記憶にありません。
今回被害を受けたECサイトは現在閉鎖しています。
魚拓サイトには2020年8月9日(侵害を受けていた期間中)のデータが残っていましたので、こちらで確認していきます。
このページのソースコードを確認します・・・が、大手芸能事務所のHPで見るとは思ってなかった”馴染みのJavaScript呼び出し”が確認できました。
EC-CUBEv2.13で間違いありません。一応・・・eccube.jsを開いてみます。
やはり見間違いではなく、レプロがフリーのEC-CUBE(2系)を使ってECサイトを構築していた様です。
EC-CUBE社のリリースページで、2014年リリースなのは、v2.13.2とv2.13.3なので、どちらかのバージョンだったのかと推定されます。
これらの情報を推定表に入れてみると、2014年から約6年間レプロはEC-CUBEをバージョンアップ(あるいは他スキームへの移行)してこなかった事が分かります。
■EC-CUBEバージョンの推定表
リリース日 |
バージョン |
2007/12/4 |
EC-CUBEv2.0リリース |
2008/4/10 |
EC-CUBEv2.1リリース |
2008/10/1 |
EC-CUBEv2.3リリース |
2009/5/19 |
EC-CUBEv2.4リリース |
2011/3/23 |
EC-CUBEv2.11リリース
|
2012/5/24 |
EC-CUBEv2.12リリース
|
2013/9/19 |
EC-CUBEv2.13リリース
▲レプロ公式オンラインショップの利用バージョン(v2.13.2又はv2.13.3)
|
2015/7/1 |
EC-CUBEv3リリース |
2018/10/11
|
EC-CUBEv4リリース
|
2019/10/29 |
EC-CUBEv2.17リリース |
2019/12/20 |
経産省注意喚起 |
2019/12/23 |
EC-CUBE注意喚起 |
2020/2/13~2020/8/12
|
▲レプロ公式オンラインショップが侵害を受けた時期
|
今年は、中小のECサイトが比較的多く攻撃を受けていましたが、十分にセキュリティ対策を考慮しているべきはずの、大手芸能事務所のECサイトがEC-CUBE2系を利用していたのは正直驚きです。
また、時系列を見ると、昨年末の経産省の異例の注意喚起を元に、自サイトのセキュリティを点検していたとすれば被害を受けずに済んだ(又は軽微な被害で抑えられた)可能性が高いかと思います。
3日連続で書きますが、カード情報非保持サービスを導入したから大丈夫と思いこんでいるECサイト運営事業者(特にEC-CUBE2系)や、制作会社は、足元をすくわれる可能性があります。被害は相次いでいますので留意下さい。
===
自ECサイト側で当然対策していなければいけない部分(設定ミスやパッチ当て)は、カード情報非保持サービスが提供するセキュリティでカバーされません。言い方を変えれば、ECサイト側がさぼっている事に対する万能なセキュリティ対策はありません。
最後に、昨年12月の経産省の異例の注意喚起を載せておきます。EC-CUBE2系ユーザーは今一度、この内容を確認すべきかと思います。
www.meti.go.jp
余談です。EC-CUBEサイト(脆弱サイト)の調査を最近してなかったのですが、簡単な検索で2系サイトが結構ヒットします。そしてこれらのサイトのソースを見ると、v2.11~v2.13を利用しているサイトは非常に多いです。時間が取れたらになるのですが、これらのサイトに脆弱性の告知をしてあげた方が良いのかなぁと(また)考えています。
※以前も何回か脆弱性があるECサイトの窓口に告知をした事がありますが、調査やメールを作成するのに時間がかかる割に、メールした多くのECサイトが簡易的な返信すらしてくれません。20件メールして回答をくれたのが1件くらいでしょうか。
以前H.I.S.が運営する変なホテルに、おもてなしロボットの脆弱性をメールした海外ホワイトハッカーの方がいましたが、自分でやってみると彼の気持ちが良く分かります。何もレスポンスが無いとやる気が出てこない、そんな事を最近は感じています。
foxsecurity.hatenablog.com
foxsecurity.hatenablog.com
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴