Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

リフォームブックスもEC-CUBE

クレジットカード情報漏えい事件 不正アクセス事件 調べてみた。

建築・リフォーム専門家向けの本屋、リフォームブックスがカード情報を流出した可能性があると発表していました。

www2.uccard.co.jp

 

公式発表

2.個人情報流出状況
(1)原因

弊社が運営する「リフォームブックス」のシステムの一部の脆弱性をついたことによる第三者不正アクセス

(2)個人情報流出の可能性があるお客様

2019年7月22日~2020年7月8日の期間中に「リフォームブックス」においてクレジットカード決済をされたお客様1944名で、流出した可能性のある情報は以下のとおりです。

・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

(公式発表より引用)

 

キタきつねの所感

2020年のカード情報漏えいインシデント発表は、手元の資料では48件目となります。過去最悪と言われていた去年が52件でしたので、発生件数ベースでは去年のインシデント件数に迫る勢いです。

本来インシデントの発表時期はカード会社等が調整しているはずですが、11月に入って7件目の発表になっている事を考えると、まだ発表を控えている事件が多い事を予感させます。

 

現在閉鎖中の侵害を受けたサイトを魚拓サイトで調査すると、(侵害期間中である)2020年6月29日のデータが見つかったので、こちらをチェックしていきます。

 

f:id:foxcafelate:20201119051923p:plain

 

トップページのソースコードを確認してみると・・・

 

f:id:foxcafelate:20201119052140p:plain

馴染みが深い、JavaScriptがありましたので、この1つを開きます。

やはりEC-CUBEでした。

f:id:foxcafelate:20201119052258p:plain

 

推定表に入れてみると、Copyrightの(-2011)からEC-CUBE v2.11を利用していた事が分かります。

 

 

EC-CUBEバージョンの推定表

リリース日 バージョン
2007/12/4 EC-CUBEv2.0リリース
2008/4/10 EC-CUBEv2.1リリース
2008/10/1 EC-CUBEv2.3リリース
2009/5/19 EC-CUBEv2.4リリース
2011/3/23

EC-CUBEv2.11リリース

▲リフォームブックスの利用バージョン
2012/5/24

EC-CUBEv2.12リリース
2013/9/19

EC-CUBEv2.13リリース 
2015/7/1 EC-CUBEv3リリース

2018/10/11

EC-CUBEv4リリース

2019/7/22~2020/7/8

▲リフォームブックスが侵害を受けた時期
2019/10/29 EC-CUBEv2.17リリース 
2019/12/20 経産省注意喚起
2019/12/23  EC-CUBE注意喚起

 

EC-CUBE(2系)サイトは今年も多数のインシデント発表をしています。裏を返せば、EC-CUBEを利用するECサイト”対策をあまりしてない”事を示唆しています。

 

EC-CUBEのバージョンが古い事だけが原因という訳ではなく、設定ミスが多いとは聞きますが、そもそもEC-CUBE2系(v2.13)は2017年7月にサポート終了予定だった事も要因な気がします。

www.ec-cube.net

 

最新版(v2.17や3系、4系等)を利用していない場合、(一般的には)最新のフレームワークに比べて潜在的脆弱性を持っている可能性も高くなりますので、最新版へのバージョンアップ、あるいはWeb改ざん検知やWAF等の緩和策(多層防御)を考える事が必要かと思います。

 

併せて、下記のチェックリストや無償の脆弱性診断などを有効活用し、2系(特に古いバージョン)を利用しているリスクを軽減すべきかと思います。

 

EC-CUBEバージョン別 運用環境チェックリスト

www.ec-cube.net

 

余談となりますが、今年発生したEC-CUBEサイトのカード情報漏えいインシデントのほぼ全てが2系です。3系や4系も設定ミスによるインシデントが発生する可能性は2系と同様な比率になるはずですが、手持ちデータでは2系サイトのみがインシデント発表をしています。

ハッカー成功する攻撃パターンを確立していて、一昨年から集中的に2系サイトを狙っているのは間違いないかと思います。

 

以下再掲します。

===

ECサイト側で当然対策していなければいけない部分(設定ミスやパッチ当て)は、カード情報非保持サービスが提供するセキュリティでカバーされません。言い方を変えれば、ECサイト側がさぼっている事に対する万能なセキュリティ対策はありません

 

最後に、昨年12月の経産省異例の注意喚起を載せておきます。EC-CUBE2系ユーザーは今一度、この内容を確認すべきかと思います。

www.meti.go.jp

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

移動本屋のイラスト

 

更新履歴

  • 2020年11月19日 AM