Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

「イタリアン」のみかづきもEC-CUBE

新潟を代表するB級グルメの1つ「イタリアン」発祥の店であるみかづきECサイトからカード情報が漏えいした様です。

www.security-next.com


 

公式発表

2.個人情報流出状況
(1)原因
弊社が運営する「みかづきオンラインショップ」のシステムの一部の脆弱性をついたことによる第三者不正アクセス
(2)個人情報流出の可能性のあるお客様
2019 年 9 月 30 日~2020 年 5 月 25 日の期間中に「みかづきオンラインショップ」においてクレジットカード決済をされたお客様は 464 名で、流出した可能性のある情報は以下のとおりです。
・クレジットカード名義人
・クレジットカード番号
・有効期限
・セキュリティコード

(公式発表より引用)

 

キタきつねの所感

随分前の新潟出張で、みかづきの「イタリアン」を食べた記憶があります。一言で言うなら、うどんの様な焼きそばにミートソースがかかったものです。誕生したのが昭和35年なので、かれこれ60年新潟で愛されているローカルフードです。

 

みかづきのサイトは、現在閉鎖中になっています。

f:id:foxcafelate:20201126055336p:plain

 

こちらのサイトを魚拓サイトで確認していきます。

 

侵害期間が、「2019年9月30日~2020年5月25日」となっているので、この期間中のデータを探してみると、直近では2020年5月5日の魚拓データがあったので、こちらのソースコードを見ていきます。

f:id:foxcafelate:20201126055624p:plain

 

すると、いつものJavaScriptコールが見つかりました。

f:id:foxcafelate:20201126055806p:plain

 

こちらの1つを開いてみると・・・EC-CUBE、2000-2013のCopyrightからv2.13を利用していた様です。

f:id:foxcafelate:20201126055933p:plain

 

推定表に入れて時系列を確認してみると、

 

EC-CUBEバージョンの推定表

リリース日 バージョン
2007/12/4 EC-CUBEv2.0リリース
2008/4/10 EC-CUBEv2.1リリース
2008/10/1 EC-CUBEv2.3リリース
2009/5/19 EC-CUBEv2.4リリース
2011/3/23

EC-CUBEv2.11リリース

2012/5/24

EC-CUBEv2.12リリース

2013/9/19

EC-CUBEv2.13リリース

みかづきの利用バージョン

2015/7/1 EC-CUBEv3リリース

2018/10/11

EC-CUBEv4リリース

2019/9/30~2020/5/25

みかづきが侵害を受けた時期

2019/10/29 EC-CUBEv2.17リリース 
2019/12/20 経産省注意喚起
2019/12/23  EC-CUBE注意喚起

 

やはり昨年末の経産省やイーシーキューブ社の注意喚起がECサイト側に認知されてない事がよく分かります。みかづき側が注意喚起の後で今回侵害を受けた脆弱点を修正出来ていたとすれば、被害が半分程度で抑えられた可能性が高いかと思います。

 

去年末の経産省の異例の注意喚起が出て、まもなく1年になります。カード情報の総漏えい件数は大きく減っています(2019年が約30万件、2020年が現在までで約4.1万件)が、インシデントの発生件数は去年を超す勢い(2019年が52件、2020年が現在まで49件)です。

 

総漏えい件数が減っているので問題無い、と言う考えもあるかと思いますが、全体としてのインシデント発表件数が減ってない事に対して、カード会社や決済代行会社は、自社の管理するEC加盟店に対して注意喚起内容をチェックさせる事を繰り返す(啓蒙する)必要があるのではないでしょうか。

 

以下再掲します。

===

ECサイト側で当然対策していなければいけない部分(設定ミスやパッチ当て)は、カード情報非保持サービスが提供するセキュリティでカバーされません。言い方を変えれば、ECサイト側がさぼっている事に対する万能なセキュリティ対策はありません

 

最後に、昨年12月の経産省異例の注意喚起を載せておきます。EC-CUBE2系ユーザーは今一度、この内容を確認すべきかと思います。

www.meti.go.jp

EC-CUBEバージョン別 運用環境チェックリスト

www.ec-cube.net

 

余談です。フォレンジック調査会社(P.C.F. FRONTEO社)がきちんと調査した結果の公式発表だと思いますので、関係は無いのかと思いますが、魚拓サイトのデータをチェックしていて気になる点がありました。それが、2019年12月23日の魚拓で、”カード決済に不具合が出ている”事がHP上で告知されています。

※これが侵害を受けた兆候だった可能性を感じます。この際に詳細調査せずに自社で障害として解決してしまったのだとすれば、みかづき側は被害を最小限に食い止められたチャンスを逃してしまったのかも知れません。※根拠はありません。

f:id:foxcafelate:20201126062809p:plain

 

 

さらに余談です。2020年を振り返るにはまだ早いですが、日本のECサイトでは、今年は海外で公表されるAPT攻撃による被害は(まだ)出てない気がします。現在EC-CUBEを攻撃しているのは、高度な技術を持つハッカーというよりかは、スクリプトキディ(初心者)によるものだと思います。

年末年始にかけてECサイトは大きな売り上げが上がるのは海外だけでなく、日本も同じだと思います。海外では(毎年ですが)ECサイトを狙った攻撃が増える時期です。

日本の大手ECサイトは、自サイトのセキュリティ対策は大丈夫だと考えるのではなく、MageCartの様なハッカーが、攻撃のチャンスを伺っているかも知れないと考えて、侵入や攻撃の兆候を警戒すべきかと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

ボロネーゼのイラスト(スパゲッティ)

 

更新履歴

  • 2020年11月26日 AM