建築・リフォーム専門家向けの本屋、リフォームブックスがカード情報を流出した可能性があると発表していました。
www2.uccard.co.jp
公式発表
2.個人情報流出状況
(1)原因
弊社が運営する「リフォームブックス」のシステムの一部の脆弱性をついたことによる第三者の不正アクセス
(2)個人情報流出の可能性があるお客様
2019年7月22日~2020年7月8日の期間中に「リフォームブックス」においてクレジットカード決済をされたお客様1944名で、流出した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
(公式発表より引用)
キタきつねの所感
2020年のカード情報漏えいインシデント発表は、手元の資料では48件目となります。過去最悪と言われていた去年が52件でしたので、発生件数ベースでは去年のインシデント件数に迫る勢いです。
本来インシデントの発表時期はカード会社等が調整しているはずですが、11月に入って7件目の発表になっている事を考えると、まだ発表を控えている事件が多い事を予感させます。
現在閉鎖中の侵害を受けたサイトを魚拓サイトで調査すると、(侵害期間中である)2020年6月29日のデータが見つかったので、こちらをチェックしていきます。
トップページのソースコードを確認してみると・・・
馴染みが深い、JavaScriptがありましたので、この1つを開きます。
やはりEC-CUBEでした。
推定表に入れてみると、Copyrightの(-2011)からEC-CUBE v2.11を利用していた事が分かります。
■EC-CUBEバージョンの推定表
リリース日 |
バージョン |
2007/12/4 |
EC-CUBEv2.0リリース |
2008/4/10 |
EC-CUBEv2.1リリース |
2008/10/1 |
EC-CUBEv2.3リリース |
2009/5/19 |
EC-CUBEv2.4リリース |
2011/3/23 |
EC-CUBEv2.11リリース
▲リフォームブックスの利用バージョン
|
2012/5/24 |
EC-CUBEv2.12リリース
|
2013/9/19 |
EC-CUBEv2.13リリース
|
2015/7/1 |
EC-CUBEv3リリース |
2018/10/11
|
EC-CUBEv4リリース
|
2019/7/22~2020/7/8
|
▲リフォームブックスが侵害を受けた時期
|
2019/10/29 |
EC-CUBEv2.17リリース |
2019/12/20 |
経産省注意喚起 |
2019/12/23 |
EC-CUBE注意喚起 |
EC-CUBE(2系)サイトは今年も多数のインシデント発表をしています。裏を返せば、EC-CUBEを利用するECサイトが”対策をあまりしてない”事を示唆しています。
EC-CUBEのバージョンが古い事だけが原因という訳ではなく、設定ミスが多いとは聞きますが、そもそもEC-CUBE2系(v2.13)は2017年7月にサポート終了予定だった事も要因な気がします。
www.ec-cube.net
最新版(v2.17や3系、4系等)を利用していない場合、(一般的には)最新のフレームワークに比べて潜在的な脆弱性を持っている可能性も高くなりますので、最新版へのバージョンアップ、あるいはWeb改ざん検知やWAF等の緩和策(多層防御)を考える事が必要かと思います。
併せて、下記のチェックリストや無償の脆弱性診断などを有効活用し、2系(特に古いバージョン)を利用しているリスクを軽減すべきかと思います。
■EC-CUBEバージョン別 運用環境チェックリスト
www.ec-cube.net
余談となりますが、今年発生したEC-CUBEサイトのカード情報漏えいインシデントのほぼ全てが2系です。3系や4系も設定ミスによるインシデントが発生する可能性は2系と同様な比率になるはずですが、手持ちデータでは2系サイトのみがインシデント発表をしています。
ハッカーが成功する攻撃パターンを確立していて、一昨年から集中的に2系サイトを狙っているのは間違いないかと思います。
以下再掲します。
===
自ECサイト側で当然対策していなければいけない部分(設定ミスやパッチ当て)は、カード情報非保持サービスが提供するセキュリティでカバーされません。言い方を変えれば、ECサイト側がさぼっている事に対する万能なセキュリティ対策はありません。
最後に、昨年12月の経産省の異例の注意喚起を載せておきます。EC-CUBE2系ユーザーは今一度、この内容を確認すべきかと思います。
www.meti.go.jp
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴